FBI 于 2022 年 3 月 7 日发布了新的FLASH 警报，警告说 RagnarLocker 勒索软件系列已经破坏了 10 个关键基础设施部门的至少 52 个组织，包括制造、能源、金融服务、政府和资讯技术部门。

根据身份盗窃资源中心的数据，勒索软件攻击的数量在 2020 年翻倍成长，并在 2021 年再次翻倍。RagnarLocker 勒索软件有趣的地方在于，自 2019 年以来它就一直是既存的网路威胁，即使它与其他勒索软件一样，如 Maze、DarkSide、REvil 和 BlackMatter，曾经消退或被捕。但事实上，FBI是于 2020 年 11 月 19 日首次发布了关于 RagnarLocker 勒索软件的 FLASH 警报。在该警报中，FBI 曾警告说 RagnarLocker 的目标是云服务供应商、电信、建筑、旅游和企业软件开发公司。

一种不常见的混淆方法

RagnarLocker 有几个不常见的特性需要注意。首先，如果它检测到机器的位置位于特定的来源之一，它就会终止其进程。这表明攻击组（或威胁参与者）归属于这些来源。

RagnarLocker 最独特的地方是它如何透过精密的技巧而不是不加选择地加密文件来逃避检测。RagnarLocker 透过终止托管服务提供者的连接来开始这个过程，创造一个它可以在不被发现的情况下运行的护罩。接下来，RagnarLocker 会悄悄的删除阴影复制(Volume Shadow Copies) 以防止恢复加密文件。最后，RagnaLocker 会选择性地加密文件，不对特定的资料和资料夹进行加密，例如 .exe、.dll.、Windows 和 Firefox（以及其他浏览器）因为这些会对系统操作造成影响，而这种方法也能避免在攻击完成之前引起任何怀疑，让电脑仍可正常执行而不被发现。

虽然 FLASH 警报没有提及，但媒体所报导的 RagnarLocker 其他面向也很有趣。据Bleeping Computer报导，RagnarLocker 发出警告声称说，如果受害者接近 FBI，它将泄露被盗数据。据SC 杂志报导，RagnarLocker 更证明它有能力看到组织内资安事件应变中心的对话内容。同时，FBI FLASH 警报也建议组织不应该向犯罪分子支付赎金，因为这可能会鼓励他们针对其他组织进行攻击。

对于这种复杂情况，最好的方法似乎是从一开始就避免被勒索。

一长串的入侵指标

无论如何，RagnarLocker的网路布局似乎已逐渐缩小，因为 FBI 公布的一些入侵指标(IOCs) 非常具有揭露性 – 特别是有项提及了包含“Alexey Berdin”名称的电子邮件地址的几种变体。

尽管两个 FLASH 警报都描述了 RagnarLocker 的混淆技术，但更有趣的是，在警报内也提供了许多有关入侵指标 (IOCs) 的情报。除了十几个电子邮件地址之外，FBI 还发布了 3 个比特币钱包地址，以及 30 多个与命令和控制（C2）服务器和数据泄露相关的 IP 地址。

FBI 也督促任何受影响的组织应主动提供额外的入侵指标 (IOCs)，包括恶意 IP 和可执行文件，以避免其他组织受害。

被恶意软件锁定的关键基础设施

对于大多数关键基础设施供应商而言，RagnarLocker 是一系列勒索软件攻击中的最新威胁，相对于 Colonial Pipeline、JBS meatpacking和 Kaseya的攻击事件。幸运的是，OPSWAT在关键基础设施保护方面处于领先地位能帮助组织免于恶意软件的攻击。

IT/OT 的整合与传统 SCADA 系统之间的复杂性对关键资产的能见度带来了困难，也因为市场上拥有网路安全技能的人才短缺导致保护关键基础设施这项任务更具备挑战性。

RagnarLocker 不是第一个、最后一个或唯一一个针对关键基础设施部门的勒索软件，因此这些关键基础设施组织必须对这种威胁保持警惕。您可以下载 OPSWAT 的关键基础设施保护指南来了解如何为您的组织做好准备。

资料来源: OPSWAT blog