Das FBI veröffentlichte am 7. März 2022 eine neue FLASH-Warnung, in der davor gewarnt wird, dass die RagnarLocker-Ransomware-Familie mindestens 52 Organisationen in zehn kritischen Infrastrukturbereichen kompromittiert hat, darunter kritische Unternehmen aus den Bereichen Fertigung, Energie, Finanzdienstleistungen, Regierung und Informationstechnologie.
Laut dem Identity Theft Resource Center verdoppelten sich die Ransomware-Angriffe im Jahr 2020 und verdoppelten sich im Jahr 2021 erneut. Interessant an der RagnarLocker-Ransomware-Familie ist jedoch, dass es sie seit 2019 gibt und sie weiterhin eine Bedrohung darstellt, auch wenn andere Ransomware-Familien wie Maze, DarkSide, REvil und BlackMatter in den Ruhestand gegangen sind oder festgenommen wurden.
Tatsächlich veröffentlichte das FBI erstmals am 19. November 2020 eine FLASH-Warnung über die RagnarLocker-Ransomware-Familie. In dieser Warnung warnte das FBI, dass RagnarLocker auf Cloud-Service-Anbieter, Kommunikations-, Bau-, Reise- und Unternehmenssoftwareunternehmen abzielt.
Ein ungewöhnlicher Ansatz zur Verschleierung
RagnarLocker weist mehrere ungewöhnliche Merkmale auf, die zu beachten sind. Erstens bricht er seinen Prozess ab, wenn er feststellt, dass sich der Standort des Computers in einem von mehreren osteuropäischen Ländern befindet, darunter Russland und die Ukraine, was darauf hindeutet, dass die Angriffsgruppe (oder der Bedrohungsakteur) einem dieser Länder zuzuordnen ist (wie so viele andere russische Ransomware-Familien).
Das Einzigartige an RagnarLocker ist die Art und Weise, wie er sich der Entdeckung entzieht, indem er Dateien mit chirurgischer Präzision verschlüsselt, anstatt sie wahllos zu zerstören. RagnarLocker beginnt diesen Prozess mit der Beendigung der Verbindungen von verwalteten Dienstanbietern und schafft so einen Schutzraum, in dem er unentdeckt operieren kann. Als Nächstes löscht RagnarLocker unbemerkt die Volume Shadow Copies, um die Wiederherstellung verschlüsselter Dateien zu verhindern. Schließlich verschlüsselt RagnaLocker selektiv Dateien und vermeidet Dateien und Ordner, die für den Systembetrieb wichtig sind, wie z. B. .exe, .dll, Windows und Firefox (neben anderen Browsern) - dieser Ansatz vermeidet es, Verdacht zu erregen, bis der Angriff abgeschlossen ist.
Obwohl dies in der FLASH-Warnung nicht erwähnt wird, gibt es einige andere Aspekte von RagnarLocker, über die in den Medien berichtet wurde und die ebenfalls interessant sind. Laut Bleeping Computer hat RagnarLocker Warnungen herausgegeben, dass es gestohlene Daten weitergeben wird, wenn sich seine Opfer an das FBI wenden. Und laut SC Magazine hat RagnarLocker demonstriert, dass es Chatrooms zur Reaktion auf Vorfälle beobachten kann. In der FLASH-Warnung des FBI wird darauf hingewiesen, dass Unternehmen kein Lösegeld an kriminelle Akteure zahlen sollten, da diese dadurch ermutigt werden könnten, weitere Unternehmen anzugreifen.
Es scheint, dass die beste Lösung für eine solch komplexe Situation darin besteht, zu vermeiden, dass man überhaupt erst freikommt.
Eine lange Liste von IOCs
Während Russland gegen Ende 2021 einige Ransomware-Familien verhaftete, ist es unwahrscheinlich, dass diese Art der Zusammenarbeit angesichts des anhaltenden Konflikts zwischen Russland und der Ukraine fortgesetzt wird. Unabhängig davon scheint sich das Netz um RagnarLocker zu schließen, da einige der vom FBI erstellten IOCs recht aufschlussreich sind - insbesondere gibt es mehrere Varianten einer E-Mail-Adresse, die den Namen "Alexey Berdin" enthält.
Obwohl beide FLASH-Warnungen die Verschleierungstechniken von RagnarLocker beschreiben, ist es interessant zu beobachten, wie viele Informationen zu den Kompromittierungsindikatoren (Indicators of Compromise, IOCs) zwischen November 2020 und März 2022 gesammelt wurden. Neben mehr als einem Dutzend E-Mail-Adressen hat das FBI auch drei Bitcoin-Wallet-Adressen und mehr als 30 IP-Adressen im Zusammenhang mit Command-and-Control-Servern (C2) und Datenexfiltration veröffentlicht.
Das FBI bittet alle betroffenen Organisationen, weitere IOCs, einschließlich bösartiger IPs und ausführbarer Dateien, zu melden.
Kritische Infrastrukturen im Fadenkreuz
Für die meisten Anbieter kritischer Infrastrukturen ist RagnarLocker die jüngste Erinnerung in einer Reihe von Ransomware-Angriffen, wie z. B. Colonial Pipeline, JBS meatpacking und Kaseya. Glücklicherweise ist OPSWAT ein führendes Unternehmen im Bereich des Schutzes kritischer Infrastrukturen.
Der Schutz kritischer Infrastrukturen ist aufgrund der Komplexität von IT/OT-Integrationen und älteren SCADA-Systemen, der Schwierigkeit, Einblick in kritische Anlagen zu erhalten, und des Mangels an Cybersicherheitskompetenzen, der im Bereich der kritischen Infrastrukturen noch ausgeprägter ist, eine Herausforderung.
RagnarLocker ist nicht die erste, letzte oder einzige Ransomware-Familie, die es auf kritische Infrastrukturen abgesehen hat. Daher ist es unerlässlich, dass diese kritischen Infrastrukturen wachsam gegenüber dieser Bedrohung bleiben. Laden Sie den Leitfaden zum Schutz kritischer Infrastrukturen von OPSWATherunter, um zu erfahren, wie Sie Ihr Unternehmen heute vorbereiten können.
