FBI, 7 Mart 2022'de yeni bir FLASH uyar ısı yayınlayarak RagnarLocker fidye yazılımı ailesinin kritik üretim, enerji, finansal hizmetler, hükümet ve bilgi teknolojisi sektörleri de dahil olmak üzere 10 kritik altyapı sektöründe en az 52 kuruluşu tehlikeye attığı uyarısında bulundu.
Identity Theft Resource Center'a göre, fidye yazılımı saldırıları 2020'de iki katına çıktı ve 2021'de tekrar iki katına çıktı. Ancak RagnarLocker fidye yazılımı ailesiyle ilgili ilginç olan bir şey, Maze, DarkSide, REvil ve BlackMatter gibi diğer fidye yazılımı aileleri emekli olmuş veya tutuklanmış olsa bile, 2019'dan beri bir tehdit olarak varlığını sürdürmesidir.
Aslında, FBI ilk olarak 19 Kasım 2020'de RagnarLocker fidye yazılımı ailesi hakkında bir FLASH uyarısı yayınladı. Bu uyarıda FBI, RagnarLocker'ın bulut hizmeti sağlayıcılarını, iletişim, inşaat, seyahat ve kurumsal yazılım şirketlerini hedef aldığı konusunda uyarmıştı.
Şaşırtmaya Sıradışı Bir Yaklaşım
RagnarLocker'ın dikkat edilmesi gereken birkaç sıra dışı özelliği vardır. İlk olarak, makinenin konumunun Rusya ve Ukrayna da dahil olmak üzere çeşitli Doğu Avrupa ülkelerinden birinde olduğunu tespit ederse işlemini sonlandırır, bu da saldırı grubunun (veya tehdit aktörünün) bu ülkelerden birine atfedildiğini gösterir (diğer birçok Rus fidye yazılımı ailesi gibi).
RagnarLocker'ın en benzersiz yönü, dosyaları gelişigüzel şifrelemek yerine cerrahi bir hassasiyetle şifreleyerek tespit edilmekten nasıl kaçtığıdır. RagnarLocker bu sürece, yönetilen hizmet sağlayıcılarının bağlantılarını sonlandırarak başlar ve keşfedilmeden çalışabileceği bir örtü oluşturur. Ardından, RagnarLocker şifrelenmiş dosyaların kurtarılmasını önlemek için Birim Gölge Kopyalarını sessizce siler. Son olarak, RagnaLocker dosyaları seçerek şifreler, .exe, .dll., Windows ve Firefox (diğer tarayıcıların yanı sıra) gibi sistem çalışması için kritik olan dosya ve klasörlerden kaçınır - bu yaklaşım, saldırı tamamlanana kadar herhangi bir şüphe uyandırmayı önler.
FLASH uyarısı bundan bahsetmese de, RagnarLocker'ın medyada bildirilen ve ilginç olan birkaç başka yönü daha var. Bleeping Computer'a göre RagnarLocker, kurbanlarının FBI'a başvurması halinde çalınan verileri sızdıracağına dair uyarılar yayınladı. SC Magazine'e göre ise RagnarLocker, olay müdahale sohbet odalarını gözlemleyebildiğini göstermiştir. Bu arada, FBI FLASH uyarısı, kuruluşların suç aktörlerine fidye ödememesi gerektiğini, çünkü bunun onları başka kuruluşları hedef alma konusunda cesaretlendirebileceğini tavsiye ediyor.
Böylesine karmaşık bir durumda en iyi yaklaşım, en başta fidye almaktan kaçınmak gibi görünüyor.
IOC'lerin Uzun Bir Listesi
Rusya 2021'in sonlarına doğru fidye yazılımı ailelerine yönelik bazı göstermelik tutuklamalar gerçekleştirmiş olsa da, Rusya ve Ukrayna arasında devam eden çatışma göz önüne alındığında bu tür bir işbirliğinin devam etmesi pek olası değil. Her şeye rağmen, FBI'ın ürettiği bazı IOC'ler oldukça açıklayıcı olduğundan, ağın RagnarLocker'ın etrafını sardığı görülüyor - özellikle de "Alexey Berdin" adını içeren bir e-posta adresinin birkaç varyasyonu var.
Her iki FLASH uyarısı da RagnarLocker'ın gizleme tekniklerini tanımlasa da, Kasım 2020 ile Mart 2022 arasında uzlaşma göstergeleri (IOC'ler) hakkında ne kadar istihbarat toplandığını gözlemlemek ilginçtir. FBI, bir düzineden fazla e-posta adresine ek olarak, üç bitcoin cüzdan adresi ve komuta ve kontrol (C2) sunucuları ve veri sızıntısı ile ilgili 30'dan fazla IP adresi de yayınladı.
FBI, etkilenen tüm kuruluşlardan, kötü amaçlı IP'ler ve yürütülebilir dosyalar da dahil olmak üzere ek IOC'ler ile öne çıkmalarını istiyor.
Kritik Altyapı Hedefte
Çoğu kritik altyapı sağlayıcısı için RagnarLocker, Colonial Pipeline, JBS meatpacking ve Kaseya gibi bir dizi fidye yazılımı saldırısının en son hatırlatıcısıdır. Neyse ki OPSWAT kritik altyapı korumasında bir lider.
Kritik altyapıların korunması, IT/OT entegrasyonları ve eski SCADA sistemleri arasındaki karmaşıklık, kritik varlıklara görünürlük kazandırmanın zorluğu ve kritik altyapı sektöründe daha da belirgin olan siber güvenlik becerileri eksikliği nedeniyle zordur.
RagnarLocker, kritik altyapı sektörlerini hedef alan ilk, son veya tek fidye yazılımı ailesi değildir, bu nedenle bu kritik altyapı kuruluşlarının bu tehdide karşı uyanık kalması zorunludur. Kuruluşunuzu bugünden nasıl hazırlayacağınızı öğrenmek için OPSWATadresinden Kritik Altyapı Koruma Kılavuzu 'nu indirin.
