بخش تحقیقات سایبری اداره تحقیقات فدرال ایالاتمتحده آمریکا (FBI) در مورد افزایش فعالیت باجافزار Ragnar Locker در پیحمله تائید شده از آوریل 2020 هشدار داد.
هشدار فلش MU-000140-MW که توسط FBI برای سازمانهای امنیتی صادر شد و با پروسهی DHS-CISA هماهنگ و برای محافظت در برابر اقدامات مخرب مداوم این باند باجافزار، امنیت را برای مدیران سیستم فراهم میکند.
FBI میگوید: FBI برای اولین بار Ragnar Locker1ransomware را در آوریل 2020 مشاهده کرد، زمانی که افراد ناشناس از آن برای رمزگذاری پروندههای یک شرکت بزرگ با حدود 11 میلیون دلار باج استفاده کردند و تهدید کردند که 10 ترابایت اطلاعات حساس شرکت را منتشر میکنند.
از آن زمان، Ragnar Locker علیه لیست فزایندهای از قربانیان، ازجمله ارائهدهندگان خدمات ابری، ارتباطات، ساختوساز، مسافرت و شرکتهای نرمافزاری سازمانی مستقرشده استاتیکهای Ragnar Locker بازیگران Ragnar Locker پس از یک مرحله شناسایی، محمولههای باج افزار را برای رمزگذاری دستگاههای قربانیان بهمنظور دستیابی به منابع شبکه، تهیه نسخه پشتیبان از شرکت و پروندههای حساس دیگر که برای جمعآوری اطلاعات جمعآوری میشود، بارگیری میکنند.
باند باج افزار همچنین به دلیل تعویض مکرر تکنیکهای مبهم سازی برای جلوگیری از شناسایی و همچنین استفاده از الگوریتمهای بستهبندی سفارشی و رمزگذاری پروندههای قربانیان از ماشینهای مجازی ویندوز XP که بر روی دستگاههای آنها مستقرشدهاند، استفاده میکند.
بدافزار Ragnar Locker همچنین تمام سرویسهای در حال اجرا را برای از بین بردن سرویسهایی که ارائهدهندگان خدمات مدیریتشده برای مدیریت از راه دور شبکههای مشتریان خود استفاده میکنند، لیست میکند. کاربران Ragnar Locker پس از گذراندن مراحل شناسایی و پیش از استقرار، یک برنامه باج افزار بسیار هدفمند را رها میکنند که پسوند سفارشی "RGNR_" را بهجایی اضافه میکند که یک هش از نام NETBIOS رایانه است.
این باج افزار دارای یک کلید تعبیهشده RSA-2048 است و همچنین یادداشتهای باج سفارشی را روی سیستمهای رمزگذاری شده رها میکند. یادداشتهای باج Ragnar Locker شامل نام شرکت قربانی، به سایت Tor و سایت نشت داده است که باند باج افزار اطلاعات قربانی را در آن منتشر میکند.
حمله باج افزار به EDP
درحالیکه FBI اطلاعات بیشتری در مورد این شرکت بزرگ که سیستمهای آن در ماه آوریل رمزگذاری شده بود، ارائه نداد، جزئیات کاملاً منطبق بر حمله علیه غول انرژی چندملیتی Energias de Portugal (EDP) منتشرشده است.
EDP یکی از بزرگترین اپراتورهای بخش انرژی اروپا با بیش از 11.500 کارمند است و انرژی خود را به بیش از 11 میلیون مشتری در 19 کشور و 4 قاره ارائه میدهد. مهاجمان Ragnar Locker توانستند تقریباً 10 ترابایت اطلاعات محرمانه شرکت در مورد صورتحساب، قراردادها، معاملات، مشتریان و شرکا را از بین ببرند.
آنها همچنین صادرات پایگاه داده مدیر رمز عبور KeePass را که حاوی نام ورود کارمندان EDP، گذرواژهها، حسابها، URL ها و یادداشتها بود، به سرقت بردند.
هشدار فلش MU-000140-MW که توسط FBI برای سازمانهای امنیتی صادر شد و با پروسهی DHS-CISA هماهنگ و برای محافظت در برابر اقدامات مخرب مداوم این باند باجافزار، امنیت را برای مدیران سیستم فراهم میکند.
FBI میگوید: FBI برای اولین بار Ragnar Locker1ransomware را در آوریل 2020 مشاهده کرد، زمانی که افراد ناشناس از آن برای رمزگذاری پروندههای یک شرکت بزرگ با حدود 11 میلیون دلار باج استفاده کردند و تهدید کردند که 10 ترابایت اطلاعات حساس شرکت را منتشر میکنند.
از آن زمان، Ragnar Locker علیه لیست فزایندهای از قربانیان، ازجمله ارائهدهندگان خدمات ابری، ارتباطات، ساختوساز، مسافرت و شرکتهای نرمافزاری سازمانی مستقرشده استاتیکهای Ragnar Locker بازیگران Ragnar Locker پس از یک مرحله شناسایی، محمولههای باج افزار را برای رمزگذاری دستگاههای قربانیان بهمنظور دستیابی به منابع شبکه، تهیه نسخه پشتیبان از شرکت و پروندههای حساس دیگر که برای جمعآوری اطلاعات جمعآوری میشود، بارگیری میکنند.
باند باج افزار همچنین به دلیل تعویض مکرر تکنیکهای مبهم سازی برای جلوگیری از شناسایی و همچنین استفاده از الگوریتمهای بستهبندی سفارشی و رمزگذاری پروندههای قربانیان از ماشینهای مجازی ویندوز XP که بر روی دستگاههای آنها مستقرشدهاند، استفاده میکند.
بدافزار Ragnar Locker همچنین تمام سرویسهای در حال اجرا را برای از بین بردن سرویسهایی که ارائهدهندگان خدمات مدیریتشده برای مدیریت از راه دور شبکههای مشتریان خود استفاده میکنند، لیست میکند. کاربران Ragnar Locker پس از گذراندن مراحل شناسایی و پیش از استقرار، یک برنامه باج افزار بسیار هدفمند را رها میکنند که پسوند سفارشی "RGNR_" را بهجایی اضافه میکند که یک هش از نام NETBIOS رایانه است.
این باج افزار دارای یک کلید تعبیهشده RSA-2048 است و همچنین یادداشتهای باج سفارشی را روی سیستمهای رمزگذاری شده رها میکند. یادداشتهای باج Ragnar Locker شامل نام شرکت قربانی، به سایت Tor و سایت نشت داده است که باند باج افزار اطلاعات قربانی را در آن منتشر میکند.
حمله باج افزار به EDP
درحالیکه FBI اطلاعات بیشتری در مورد این شرکت بزرگ که سیستمهای آن در ماه آوریل رمزگذاری شده بود، ارائه نداد، جزئیات کاملاً منطبق بر حمله علیه غول انرژی چندملیتی Energias de Portugal (EDP) منتشرشده است.
EDP یکی از بزرگترین اپراتورهای بخش انرژی اروپا با بیش از 11.500 کارمند است و انرژی خود را به بیش از 11 میلیون مشتری در 19 کشور و 4 قاره ارائه میدهد. مهاجمان Ragnar Locker توانستند تقریباً 10 ترابایت اطلاعات محرمانه شرکت در مورد صورتحساب، قراردادها، معاملات، مشتریان و شرکا را از بین ببرند.
آنها همچنین صادرات پایگاه داده مدیر رمز عبور KeePass را که حاوی نام ورود کارمندان EDP، گذرواژهها، حسابها، URL ها و یادداشتها بود، به سرقت بردند.