Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Вымогатель RagnarLocker заразил как минимум 52 организации КИ в США

11/03/22

hack75-Mar-11-2022-09-09-21-06-AMКибервымогательская группировка RagnarLocker уже заразила как минимум 52 организации критической инфраструктуры в США, в частности в сфере производства, электроэнергетики, финансов, информационных технологий, а также правительственные организации. Об этом сообщается в опубликованном на днях новом уведомлении ФБР.

Бюро впервые стало известно о группировке RagnarLocker и ее предпочтительной тактике двойного вымогательства в начале 2020 года. Злоумышленники похищают чувствительные данные, шифруют системы жертв и угрожают опубликовать похищенную информацию, если не будет уплачен выкуп.

Вымогательское ПО RagnarLocker добавляет в конец зашифрованных файлов расширение .RGNR_<ID>, где <ID> - это хэш имени NETBIOS компьютера. Злоумышленники, подписывающиеся RAGNAR_LOCKER, оставляют на зараженной системе записку в формате .txt с требованием выкупа и инструкциями по его уплате. RagnarLocker использует VMProtect, UPX и кастомные алгоритмы упаковки и развертывается на кастомной виртуальной машине Windows XP злоумышленников.

С помощью Windows API GetLocaleInfoW вредонос идентифицирует местоположение атакуемой системы. Если система находится в одной из десятка избранных стран в Европе и Азии, включая Украину и Россию, процесс заражения завершается.

После развертывания вымогатель отключает сервисы, часто используемые провайдерами управляемых сервисов для удаленного контроля над сетями, и скрыто удаляет все теневые копии документов, поэтому пользователи не могут восстановить зашифрованные файлы.

В конечном итоге, RagnarLocker шифрует данные атакуемой организации. Примечательно, что вредонос выбирает не файлы, которые нужно зашифровать, а папки, которые шифровать не нужно. Такая тактика позволяет компьютеру продолжать работать в нормальном режиме, пока RagnarLocker шифрует файлы с известными и неизвестными расширениями, содержащие важные для жертвы данные.

К примеру, если том обрабатывается на диске C:, вредонос не шифрует папки с именами Windows, Windows.old, Mozilla, Mozilla Firefox, Tor browser, Internet Explorer, $Recycle.Bin, Program Data, Google, Opera и Opera Software.

ФБР настоятельно просит жертв вымогателей сообщать о кибератаках и не платить выкуп, хотя и «понимает, что компаниям может быть сложно принять такое решение». Руководство должно «оценить все варианты, чтобы защитить своих акционеров, сотрудников и клиентов», прежде чем решать платить.

Темы:СШАПреступленияВымогателикритическая инфраструктура
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...