FortiGuard Labs è consapevole del fatto che il Federal Bureau of Investigation (FBI) degli Stati Uniti ha rilasciato gli indicatori di compromissione (IOC) aggiornati per RagnarLocker (Ragnar_Locker) Ransomware l’8 marzo 2022. Il rapporto afferma “A gennaio 2022, l’FBI ha identificato almeno 52 entità in 10 settori di infrastrutture critiche colpiti dal ransomware RagnarLocker, comprese entità nei settori critici di produzione, energia, servizi finanziari, governo e tecnologia dell’informazione. “Il primo avvistamento del ransomware risale almeno a febbraio 2020. RagnarLocker ransomware impiega tripla tattica di estorsione: chiede un riscatto dopo aver crittografato i file, minaccia di pubblicizzare i dati rubati e di fermare l’attacco DDoS (Distributed Denial of Service) contro la vittima. Perché è significativo? Questo è significativo perché l’FBI è consapevole che più di 50 organizzazioni in tutto 10 settori delle infrastrutture critiche sono stati colpiti dal ransomware RagnarLocker. Il fatto che l’FBI abbia reso disponibili al pubblico ulteriori IOC insinua che RagnarLocker continuerà a essere attivo e probabilmente produrrà più vittime. Cos’è RagnarLocker Ransomware? Il primo rapporto sul ransomware RagnarLocker (Ragnar_Locker) risale a febbraio 2020. Proprio come qualsiasi altro ransomware, RagnarLocker crittografa i file sulla macchina compromessa e ruba dati preziosi. Elimina anche tutte le copie shadow del volume, impedendo il ripristino dei file crittografati. Sebbene ci siano alcune eccezioni, i file crittografati da RagnarLocker ransomware hanno generalmente un’estensione di file che inizia con .ragnar_ o ragn@r_ seguito da caratteri casuali. Oltre alla normale richiesta di riscatto per decrittografare i file crittografati, il ransomware minaccia di pubblicizzare i dati ha rubato alla vittima se la richiesta di riscatto non è stata soddisfatta. Gli attori della minaccia RagnarLocker aggiungono anche pressione sulla vittima affinché paghi il riscatto eseguendo un attacco DDoS (Distributed Denial of Service) contro la vittima. Una cosa degna di nota di questo ransomware è che ha un codice per controllare la posizione del computer prima dell’avvio del processo di crittografia . Se il computer appartiene a Russia, Azerbaigian, Armenia, Bielorussia, Georgia, Kazakistan, Kirghizistan, Moldova, Tagikistan, Turkmenistan, Uzbekistan e Ucraina, il ransomware si interrompe. Quali sono le mitigazioni per RagnarLocker Ransomware? Di seguito sono riportate le mitigazioni consigliate dall’FBI: Backup dei dati critici offline. Assicurati che le copie dei dati critici siano nel cloud o su un disco rigido esterno o un dispositivo di archiviazione. Queste informazioni non dovrebbero essere accessibili dalla rete compromessa.Proteggi i tuoi backup e assicurati che i dati non siano accessibili per la modifica o l’eliminazione dal sistema in cui risiedono i dati.Utilizza l’autenticazione a più fattori con password complesse, anche per i servizi di accesso remoto.Mantieni computer, dispositivi e applicazioni con patch e aggiornati. Monitora la segnalazione delle minacce informatiche in merito alla pubblicazione di credenziali di accesso VPN compromesse e modifica le password e le impostazioni. Valuta la possibilità di aggiungere un banner e-mail alle e-mail ricevute dall’esterno dell’organizzazione. Disattiva l’accesso remoto inutilizzato/ Porte Remote Desktop Protocol (RDP) e monitoraggio di accessi remoti/registri RDP.Controlla gli account utente con privilegi di amministratore e configura i controlli di accesso tenendo conto del privilegio minimo.Implementare la segmentazione della rete.Qual è lo stato della copertura?FortiGuard Labs fornisce la seguente copertura AV contro RagnarLocker ransomware:Linux/Filecoder_RagnarLocker.A!trW32/RagnarLocker.43B7!tr.ransomW32/Filecoder_RagnarL ocra.A!trW32/RagnarLocker.A!tr.ransomW32/RagnarLocker.C!trW32/RagnarLocker.B!tr.ransomW32/RagnarLocker.4C9D!tr.ransomW32/Filecoder_RagnarLocker.A!tr.ransomW32/RagnarLocker.C!tr. ransomW32/Filecoder_RagnarLocker.C!trW32/Filecoder.94BA!tr.ransomW32/Filecoder.OAH!tr.ransomTutti gli IOC di rete sono bloccati dal client WebFiltering.
