Программа-вымогатель Ragnar Locker — что вам нужно знать


Что это за штука с Рагнаром Локером, о которой я слышал?

Ragnar Locker — это семейство программ-вымогателей, которое впервые стало известно в начале 2020 года, когда оно стало печально известно тем, что наносило удары по крупным организациям, пытаясь вымогать большие суммы криптовалюты у своих жертв.

Значит, это просто ваша кучка киберпреступников?

Да, хотя на своем подпольном сайте, куда они сливают файлы, украденные у их корпоративных жертв, они пытаются изобразить себя несколько иначе.

В разделе «О нас» банды Рагнара Локера они довольно неубедительно заявляют, что «не преследуют цели нанести огромный ущерб чьему-либо бизнесу», признавая при этом, что «если будет необходимо, мы, без сомнения, сделаем то, что хотим». обещание, и последствия будут катастрофическими».

скрин с сайта рагнара

Преступники даже пытаются убедить своих жертв, что они могут помочь улучшить безопасность:

«Мы заинтересованы в поиске слабых мест и уязвимостей в сетях, и мы хороши в этом, мы можем помочь улучшить меры безопасности, поэтому мы даем возможность заключить сделку и предоставляем список рекомендаций и отчетов о проникновениях». «Компании, подвергшиеся атаке Ragnar_Locker, могут считать это наградой за поиск ошибок, мы просто показываем, что может произойти. Но не забывайте, что в Интернете есть много людей, которым не нужны деньги — кто-то может хотеть только крушить и разрушать. Так что лучше заплатите нам, и мы поможем вам избежать подобных проблем в будущем».

Хм. Похоже, они делают предложение, от которого невозможно отказаться…

Да, слова могут показаться добрыми, но нет скрытой угрозы, что если вы не заплатите выкуп после того, как они воспользуются вашей сетью, все может стать очень неприятным.

Потому что ваши данные будут зашифрованы и могут попасть в сеть?

Точно. ФБР явно обеспокоено и выпустило предупреждение о том, что банда Рагнара Локера заразила по меньшей мере 52 критически важные инфраструктурные организации по всей Америке своей программой-вымогателем.

Системы были поражены в критически важном производстве, энергетике, финансовых услугах,
правительству и секторам информационных технологий, сообщает ФБР.

Пострадать может любая компания, но критическая инфраструктура…

Верно.

И именно поэтому предупреждение ФБР повышает осведомленность об угрозе программы-вымогателя Ragnar Locker и предлагает информацию о том, как она работает, индикаторы компрометации и советы о том, как лучше защитить свой бизнес.

Это просто проблема, стоящая перед североамериканским бизнесом?

Нет, Ragnar Locker можно использовать против организаций по всему миру, хотя, что интересно, программа-вымогатель прекращает работу, если определяет, что компьютер идентифицирован как «азербайджанский», «армянский», «белорусский», «казахский», «киргизский», «молдавский, «Таджик», «русский», «туркмен», «узбек», «украинец» или «грузин».

Может ли это указать, из какой части мира происходит программа-вымогатель?

Вы можете подумать, что я не мог комментировать. Но обычно считается, что некоторые банды киберпреступников намеренно избегают атак на компании в своей стране, надеясь избежать нежелательного интереса со стороны местных правоохранительных органов.

Попался. Итак, когда срабатывает программа-вымогатель Ragnar Locker, что она шифрует?

Что, возможно, быстрее описать, так это то, что это не зашифровать. Чтобы позволить компьютеру работать «нормально» во время процесса шифрования, он избегает шифрования файлов в следующих папках на диске C::

  • Окна
  • Home windows.старый
  • Мозилла
  • Мозилла Фаерфокс
  • Тор-браузер
  • Интернет-проводник
  • $Recycle.Bin
  • Данные программы
  • Google
  • Опера
  • Опера Программное обеспечение

Кроме того, при циклическом просмотре файлов Ragnar Locker игнорирует файлы со следующими
расширения:

  • .дб
  • .sys
  • .dll
  • .lnk
  • .msi
  • .дрв
  • .EXE

Конечно, все эти типы файлов обычно можно легко заменить, в отличие от файлов данных, которые обычно имеют большую ценность.

Но для шифрования файлов он должен каким-то образом проникнуть в вашу организацию. Как оно это делает?

Банда Рагнара Локера, как и многие другие группы киберпреступников, нацелена на бизнес с помощью программ-вымогателей, используя в своих интересах интернет-сервисы, такие как RDP, подбор паролей или использование украденных учетных данных. Оказавшись внутри, злоумышленник попытается получить более высокие привилегии и перемещаться по сети в горизонтальном направлении.

Так как же моя компания может защитить себя от Рагнара Локера?

Лучший совет — следовать рекомендациям по защите вашей организации от других программ-вымогателей. К ним относятся:

  • создание безопасных удаленных резервных копий.
  • использование современных решений безопасности и обеспечение защиты ваших компьютеров с помощью последних исправлений безопасности от уязвимостей.
  • использование сложных для взлома уникальных паролей для защиты конфиденциальных данных и учетных записей, а также включение многофакторной аутентификации.
  • шифрование конфиденциальных данных везде, где это возможно.
  • сокращение поверхности атаки за счет отключения функций, которые не нужны вашей компании.
  • обучение и информирование персонала о рисках и методах, используемых киберпреступниками для проведения атак и кражи данных.

Если моя компания стала жертвой Рагнара Локера, должны ли мы платить выкуп?

Это решение может принять только ваша компания. Ясно одно: чем больше компаний платит выкуп, тем выше вероятность того, что преступники в будущем предпримут аналогичные атаки против других.

В то же время ваш бизнес может чувствовать, что у него нет другого выбора, кроме как принять трудное решение заплатить. В конце концов, альтернатива может поставить под угрозу весь бизнес.

Каким бы ни было ваше решение, вы должны сообщить правоохранительным органам об инциденте и сотрудничать с ними, чтобы помочь им в расследовании того, кто может стоять за нападениями.

И помните: уплата выкупа не обязательно означает, что вы устранили проблемы с безопасностью, которые изначально позволили вам заразиться. Если вы не выясните, что пошло не так и почему, и не исправите это, вы можете легко стать жертвой новых атак программ-вымогателей в будущем.


Примечание редактора: Мнения, выраженные в этой статье приглашенного автора, принадлежат исключительно автору и не обязательно отражают точку зрения Tripwire, Inc.

https://cyberxhack.org/