Ragnar Locker - это программа-вымогатель для Windows и Linux, которая удаляет информацию со взломанной машины, шифрует файлы с помощью алгоритма шифрования Salsa20 и требует от жертв выкуп за восстановление данных. Известно, что группа Ragnar Locker использует тактику двойного вымогательства. Выкуп выплачивается не только за восстановление пострадавших файлов, но и для того, чтобы предотвратить разглашение украденной информации. Эта группа также утверждает, что жертвы, которые выполнят их финансовые требования, получат информацию о том, как злоумышленник смог скомпрометировать их, а также рекомендации по улучшению безопасности в качестве бонуса.
Ragnar Locker Ransomware
Помимо шифрования данных, программа-вымогатель удаляет теневые копии томов, лишая жертву возможности восстановить пострадавшие файлы. Она также проверяет наличие таких служб, как: vss, sql, veeam, logmein и т.д., и завершает их, если обнаруживает.
Хотя векторы заражения Ragnar Locker ransomware варьируются от жертвы к жертве, считается, что одним из первоначальных векторов атаки является компрометация сети жертвы через службы RDP, открытые для доступа в Интернет, с использованием методов грубой силы и утечки учетных данных. Затем CVE-2017-0213 (Уязвимость повышения привилегий в Windows COM), как сообщается, используется для повышения привилегий и бокового перемещения.
Хотя точное число жертв Ragnar Locker не установлено, в этом году на сайте утечки было указано по меньшей мере 16 компаний. Местонахождение жертв включает Северную Америку, Европу и Азию.
Предпочтительный способ оплаты Ragnar Locker - биткоин. Они просят жертву сначала перевести один биткоин на кошелек злоумышленника, который раскрывается во время переговоров, чтобы подтвердить, что транзакция прошла. Группа также просит своих жертв не нанимать профессиональных переговорщиков, угрожая утечкой любой украденной информации, если им станет известно о присутствии правоохранительных органов.
Злоумышленник обещает удалить всю украденную информацию после оплаты. Обещания удалить бэкдоры, оставленные в сети жертвы, вызывают беспокойство, хотя они якобы удаляются. Однако было бы неразумно доверять любым скомпрометированным системам после этого.
В то время как некоторые операторы программ-выкупов устанавливают добровольные правила, запрещающие атаковать правительственные и военные организации, медицинские учреждения (больницы) и критически важные объекты инфраструктуры, такие как электростанции и трубопроводы, угроза Ragnar Locker не испытывает такого отвращения. Недавно он попал в новости, похитив 361 ГБ файлов у поставщика природного газа в Греции и зашифровав файлы организации.
Ragnar Locker представляет собой настолько серьезную угрозу для критически важных отраслей и организаций, что ФБР выпустило экстренное предупреждение в марте 2022 года и сообщило, что более 50 организаций в различных секторах инфраструктуры пострадали от этой программы-выкупа. Эта группа также входила в "картель вымогателей" и объединялась с другими известными угрозами вымогательства, такими как LockBit и ныне несуществующий Maze.
Ragnar Locker ransomware датируется, по крайней мере, концом декабря 2019 года. С тех пор группа внесла ряд изменений, которые видны в примечаниях к выкупу.
Одно из очевидных различий заключается в том, что в записке о выкупе от 2019 года речь идет только о шифровании файлов жертвы, тогда как в недавней записке о выкупе утверждается, что оператор не только зашифровал файлы, но и украл информацию жертвы. Еще одно существенное отличие заключается в том, что если в более ранних атаках жертве предлагалось связаться со злоумышленником с помощью платформы обмена мгновенными сообщениями Tox Chat, то в недавней записке о выкупе содержатся ссылки на переговорный сайт злоумышленника в Tor и скрытую страницу утечки информации, предназначенную конкретно для жертвы.
Как только истечет срок оплаты, установленный агентом угрозы Ragnar Locker, или если он почувствует, что жертва не сотрудничает, страница будет доступна любому, кто имеет доступ к сайту утечки. Злоумышленник также утверждает, что жертвы новых вариантов Ragnar Locker получат скидку, если свяжутся с ними в течение двух дней после заражения. Кроме того, злоумышленник включает ссылки на страницы хостинга скриншотов Lightshot, где жертва может увидеть фрагмент своей украденной информации в качестве доказательства того, что она действительно была скомпрометирована.
Группа Ragnar Locker управляет сайтом утечки данных под названием "Стена позора" на Tor. Каждая страница утечки уникальна для жертвы и включает описание компании жертвы, адрес компании, доход и номер телефона. В большинстве сообщений злоумышленник Ragnar Locker также нелицеприятно отзывается о безопасности компании-жертвы, ее частной политике и обращении с данными клиентов.
Indicators of Compromise
SHA256
- 02741ad22a1ff8dfde095cfe5079c39f637d1dabe290b3da5ba44a8325cbf24c
- 041fd213326dd5c10a16caf88ff076bb98c68c052284430fba5f601023d39a14
- 0766beb30c575fc68d1ca134bd53c086d2ce63b040e4d0bbd6d89d8c26ca04f6
- 086c1455bb93b9901d955eb49ca225e6777cb0dde34176f392a30e2dfb16ed4c
- 0aaa7a3596af6b1aae02b6e6ca878045360d467f96b0687363a9dce19ea60a36
- 1318f8a4566a50537f579d24fd1aabcf7e22e89bc75ffd13b3088fc6e80e9a2a
- 1602d04000a8c7221ed0d97d79f3157303e209d4640d31b8566dd52c2b09d033
- 1bf68d3d1b89e4f225c947442dc71a4793a3100465c95ae85ce6f7d987100ee1
- 2036f30ed21663586e62e67efec30c37bb91fb8bc9e1983f69f98f19242ed5cc
- 2bcd2afd6bd3051681ee269beaf46cd20cc1a121e0c2328126e1b63fab6632f2
- 303a8aefb1331b03abc13963bd10bd5765ac4a9ed1303bb4a4258b6b24571216
- 30dcc7a8ae98e52ee5547379048ca1fc90925e09a2a81c055021ba225c1d064c
- 3bc8ce79ee7043c9ad70698e3fc2013806244dc5112c8c8d465e96757b57b1e1
- 3c103850d13c9564b06087c9ad55ca2c1e2e9b9d063cb7a39d7a105f689f87a8
- 438f11a883070214ad063ddf043460ca54863c1f7bf1db64b6d0d474331c94f8
- 46f7b205b0a143b60deb5ad38c042702ddaa18d0ee2954d3380ee302ed1484bc
- 4a63daa8477d16abfcf564aa8ef1f4f68c5e4dbc09f65bd6ebb2f43d8a24ba3d
- 4e8e84ad831cf251366b609720d6e3c6523fdd66ea0f989acb5d62e62e418cdf
- 4f0268288fb680fbabc48b09a87e828a6e18782516fa9b9bfc23acc2727f6ba9
- 53df85f3250eb84f9c8b29731173d8cc9b4416744203b64edc76dd3b589d85c1
- 60233700ee64b9e5d054fa551688e8617328b194534a0fe645411685ce467128
- 60620c93071bf5c5f2a024588f8e1d8a0a710d37fd12169cf7526e737934e449
- 63096f288f49b25d50f4aea52dc1fc00871b3927fa2a81fa0b0d752b261a3059
- 68eb2d2d7866775d6bf106a914281491d23769a9eda88fc078328150b8432bb3
- 6edc6154834951ffc012f575e2827da8e4aca4f67f24ef59a678e02dc40c9c91
- 6fd4ec6611bf7e691be80483bcf860e827d513df45e20d78f29cf4638b6c20e8
- 7af61ce420051640c50b0e73e718dd8c55dddfcb58917a3bead9d3ece2f3e929
- 91b1d3cbc797b08e8c72bc41ec5d1463cf21f7be07dffd1e3a7669f44968880b
- 9416e5a57e6de00c685560fa9fee761126569d123f62060792bf2049ebba4151
- 9706a97ffa43a0258571def8912dc2b8bf1ee207676052ad1b9c16ca9953fc2c
- 98d91b550f5c6bfc2b7767985071d1dfa2e39780dc41b9d9d07e5117d58a8686
- 9b32d05ae3c054020922b19c813c3353bd7871bbd7679ad11cb6dc50e2227c09
- 9bdd7f965d1c67396afb0a84c78b4d12118ff377db7efdca4a1340933120f376
- ab2c3f3e1750b92273772624d2bbf1827bb066ac4b6e5fe7843c884f4d1dfae9
- b6663af099538a396775273d79cb6fff99a18e2de2a8a2a106de8212cc44f3e2
- b670441066ff868d06c682e5167b9dbc85b5323f3acfbbc044cabc0e5a594186
- b72beb391c75af52c6fb62561f26214b682f12d95660b128d9e21e18e3bff246
- b9779be12fec26d2cca507ad4092c05d8ece5e5111ff166d3a0a2871fbc7ccd8
- c2bd70495630ed8279de0713a010e5e55f3da29323b59ef71401b12942ba52f6
- c5c2c382bb3fa555e2c311f8f53a99d62c576dfeeb8aff6ad46f73d8a0d2dd13
- c85b211a9cf462aa88efe3db72ab5ab9ed91480355f1fd359d2680fdcb1b0c28
- c86df3a8c050f430982dc8d4f4cc172ccc37478d1ba2646dc205bffe073484d1
- ce33096639fb5c51684e9e3a7c7c7161884ecad29e8d6ad602fd8be42076b8d4
- cf5ec678a2f836f859eb983eb633d529c25771b3b7505e74aa695b7ca00f9fa8
- d333d5eb3fc8fdd2c18e65723400c2ab939988fae9802937af329bb6b3735720
- d6a956684e7b3dc1e7c420b8ff2f8f3367f68cc5a7c440a8a2d8f78f1a59c859
- dd5d4cf9422b6e4514d49a3ec542cffb682be8a24079010cda689afbb44ac0f4
- dd79b2abc21e766fe3076038482ded43e5069a1af9e0ad29e06dce387bfae900
- e1957024039b0e48a15c27448f19d4df4f0e4666f9ac34e7f4d42dd3c32e15ed
- e7d3ab7cd88592858aaeeaeca61a486352d7ccecfb124bfa6a3725dc682a8201
- ec35c76ad2c8192f09c02eca1f263b406163470ca8438d054db7adcf5bfc0597
- edaddb4671a5ff6cc46b94b0d7fafefe6c623802b462c72cf039c8047ac35328
- f043f7156e1d678ac2c852c8f364aae93d895cae934d1ec42af13d175465913e
- f4277284fa71e81586e67fb5fe464c8cdacc0a2f588e3b80a814b41504a37156
- f668f74d8808f5658153ff3e6aee8653b6324ada70a4aa2034dfa20d96875836