Ragnar Locker ransomware, di che cosa si tratta?

Ragnar Locker, scoperto nell’aprile 2020, è sia ransomware che un gruppo ransomware.
Ragnar Locker è noto per modificare frequentemente le sue strategie di offuscamento al fine di eludere le soluzioni di sicurezza per il rilevamento e la prevenzione, oltre a scoraggiare le aziende dall’allertare le autorità legali a seguito di una violazione.
Questo articolo esamina le tecniche offensive di Ragnar Locker e le contromisure necessarie.

Ragnar Locker, una definizione introduttiva
Quali sono le tecniche d’attacco?
Esempi d’attacco Ragnar Locker
Perché è importante non pagare il riscatto?
Misure per prevenire e mitigare il rischio di ransomware Ragnar Locker

Ragnar Locker, una definizione introduttiva

Nonostante l’FBI abbia appreso per la prima volta di Ragnar Locker nell’aprile 2020, l’organizzazione è operativa da dicembre 2019.
Sia il malware che la banda di ransomware sono chiamati Ragnar Locker.
Ragnar Locker è noto per utilizzare l’approccio della doppia estorsione, in cui gli attori delle minacce esfiltrano dati sensibili; quindi, lanciano un attacco di crittografia e infine, minacciano di divulgare i dati se il riscatto richiesto non viene pagato.

Per sfuggire al rilevamento e alla protezione, il ransomware modifica regolarmente le proprie strategie di offuscamento.

Quali sono le tecniche d’attacco?

Gli attacchi prendono inizio infiltrandosi nelle reti aziendali utilizzando il servizio RDP, impiegando la tecnica di forza bruta per indovinare password o credenziali rubate ottenute sul dark web.
Dopo essersi infiltrato nella rete del bersaglio, l’aggressore innalza i propri privilegi sfruttando CVE-2017-0213 in Windows COM Aggregate Marshaler.
CVE-2017-0213 è una vulnerabilità di elevazione dei privilegi che consente agli aggressori di eseguire codice arbitrario con privilegi elevati, secondo Microsoft.

L’attaccante utilizza un programma appositamente progettato per sfruttare la vulnerabilità.

Secondo Acronis (una tecnica adottata anche dagli operatori di ransomware Maze), per eseguire l’assalto alla crittografia del ransomware, Ragnar Locker creerebbe occasionalmente una macchina virtuale (VM) VirtualBox con un’immagine di Windows XP. Il computer virtuale, che mappa tutti i dischi locali come leggibili/scrivibili, viene quindi caricato con l’immagine. Per questo motivo, il ransomware potrebbe funzionare all’interno della VM e crittografare i dati. Molte soluzioni di sicurezza verranno ignorate poiché i file host identificano la crittografia come un processo VirtualBox affidabile.

Ragnar Locker elimina quindi le copie shadow e disabilita le difese antivirus prima di passare da una rete aziendale a un’altra utilizzando uno script PowerShell.

Ragnar Locker prende i dati e li carica sui server prima di pubblicizzarli, solo nel caso in cui la vittima si rifiuti di pagare il riscatto richiesto. Le tecniche di offuscamento, che includono l’iniezione di codice ridondante oltre alla crittografia, proteggono il codice ransomware.

Le chiavi crittografiche e le stringhe di configurazione offuscate sono contenute in una sezione del file PE del carico utile denominata “.keys“. In runtime, le stringhe offuscate codificate vengono decrittografate e il primo valore decrittografato è un ID campione univoco. Le stringhe relative alle soluzioni di backup e antivirus vengono rimosse. Ragnar Locker disabilita anche le soluzioni software di gestione remota come Kaseya e ConnectWise, consentendo all’attore delle minacce di evitare il rilevamento e assicurando che gli amministratori che hanno effettuato l’accesso in remoto non vanifichino il processo di distribuzione del ransomware.

L’avviso di riscatto solitamente lasciato da Ragnar Locker contiene il Ragnar Secret, che è un “ID azienda” con codifica Base64, e la posizione del loro sito Web dove sono disponibili le informazioni per il pagamento del riscatto.

Esempi d’attacco Ragnar Locker

Ragnar Locker è riuscito ad hackerare il colosso dell’industria dei videogiochi Capcom nel novembre 2021.
L’assalto ransomware ha crittografato 1 TB di dati e danneggiato l’e-mail e i file system dell’azienda.

La società di videogiochi giapponese Capcom è nota per la creazione di serie popolari come Street Fighter e Resident Evil.
Il 2 novembre 2021, Capcom ha appreso di una violazione e ha confermato che l’accesso illegale di terzi era la causa dell’aggressione. Più tardi nel mese, l’azienda ha riconosciuto che i dati personali e aziendali (informazioni su ex lavoratori, azionisti, clienti e utenti del sito Web) erano stati violati.

Nell’aprile 2021, Ragnar Locker ha preso di mira anche la rete Energias de Portugal in Nord America. Il gruppo alla fine ha rubato 10 TB di dati aziendali riservati e ha chiesto 11 milioni di dollari in Bitcoin, o 1.580 Bitcoin, come riscatto. Anche il Gruppo Campari, una società italiana di bevande alcoliche, è stato violato da Ragnar Locker.

Il Gruppo Campari è noto per i suoi famosi marchi di liquori, tra cui Grand Marnier, Wild Turkey e SKYY Vodka.
Gli autori di minacce hanno sequestrato 2 TB d’informazioni non crittografate il 1° novembre 2020 e volevano un riscatto di 15 milioni di dollari (in Bitcoin) per recuperare i file. E-mail, contratti, estratti conto bancari e altri documenti erano tutti contenuti nei file. Il colosso dell’aviazione Dassault Falcon Jet, una divisione dell’azienda aerospaziale francese Dassault Aviation, è stato attaccato da Ragnar Locker nel dicembre 2020.

Perché è importante non pagare il riscatto?

A seguito di una violazione, la maggior parte delle aziende tenta di nascondere la propria violazione negoziando segretamente un riscatto.
Possono avvalersi dei servizi di una società di servizi commerciali per assisterli in questo tentativo. Coveware, una società di negoziazione di ransomware, ha scoperto, tuttavia, che le bande di ransomware non mantengono le promesse e sempre più spesso non distruggono i dati rubati dopo il pagamento del riscatto. Sebbene sia ovvio che le attività aziendali possono essere influenzate o addirittura crollare completamente, è sempre essenziale segnalare gli attacchi ransomware alle autorità il prima possibile.

Misure per prevenire e mitigare il rischio di ransomware Ragnar Locker

In conclusione, la chiave per difendersi da questo pericolo è prepararsi a identificare rapidamente ed efficacemente le minacce Ragnar Locker prima che il ransomware prenda piede. Di seguito riportiamo alcune delle misure più indispensabili contro la minaccia da ransomware Ragnar Locker:

Eseguire il backup dei dati su base regolare, conservando le copie di dati in luoghi separati e protette da password.
Implementare una strategia di ripristino che includa il mantenimento di diverse copie di dati e server riservati o proprietari in un luogo fisicamente separato, separato e sicuro (ad esempio, disco rigido, dispositivo di archiviazione, cloud).
Determinare le funzioni importanti e crea una strategia operativa in caso di guasto dei sistemi.
Adottare la segmentazione della rete.
Installare/aggiornare sistemi operativi, software e aggiornamenti del firmware non appena sono disponibili.
Disabilita tutte le porte di accesso remoto/RDP non necessarie e monitorare i registri di accesso remoto/RDP.
Controllare gli account utente amministrativi e implementare il criterio del privilegio minimo.
Installa e mantienere aggiornato il software antivirus e antimalware su tutti gli host.
Utilizza solo reti sicure ed evitare le reti Wi-Fi pubbliche. Prendere in considerazione la configurazione e l’utilizzo di una rete privata virtuale (VPN).

Autore articolo
Gli ultimi articoli

Filomena Cignarale

Sono una studentessa magistrale in Informatica Umanistica.
Durante il percorso di studi triennale in Lettere e filosofia ho avuto l’opportunità di svolgere un anno di Servizio Civile Nazionale e un semestre di Erasmus per studio in Francia, nonché un breve periodo di Servizio Volontario Europeo in Croazia.
Attualmente, con un gruppo di altri cinque ragazzi, porto avanti un progetto che aiuta start-up e piccole realtà imprenditoriali a delineare i primi step per le loro strategie social.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.