据悉,RagnarLocker在过去一年间攻击了大量美国关键基础设施部门,FBI警告黑客会以保留Windows系统档案及浏览器功能等手法隐蔽加密档案行为,躲避系统侦测。
美国联邦调查局(FBI)提供勒索软件RagnarLocker的入侵指标(IOCs),下图为局部资料示意。
美国联邦调查局FBI本周警告,已发现至少有52家横跨十大关键基础设施领域的组织,遭到RagnarLocker勒索软件入侵,涵盖制造、能源、金融服务、政府及信息技术等领域,FBI除了提供该勒索软件的入侵指标(IOCs)外,也督促受害者向主管机关举报,以及提供相关细节利于追踪黑客,避免其它组织受害。
Ragnar Locker勒索组织的终止托管服务提供商 (MSP),使用的是远程管理软件,包括ConnectWise、Kaseya,以此远程管理那些受感染的企业。而且这还有利于攻击者躲避系统检测,确保远程登录的管理员不会干扰或阻止勒索软件部署过程。
同时FBI希望被勒索的企事业单位尽量不要向Ragnar Locker勒索组织支付赎金,因为即便支付了赎金也无法保证数据可以解密,或不被泄露。相反,支付赎金将进一步刺激勒索组织发起更广泛的攻击,并吸引更多的攻击者加入到勒索的队伍中。
RagnarLocker最早出现于2019年,黑客会先渗透受害者系统,接着辨识受害装置的位置,倘若位于白俄罗斯、哈萨克、俄罗斯或乌克兰等国家,便会停止攻击。
此外,与其选择欲加密的档案,RagnarLocker过滤了不加密的档案,主要是为了保留Windows系统档案及各种浏览器功能,以便黑客在执行加密档案的过程中,电脑仍可正常执行而不被发现。
RagnarLocker曾于2020年攻击全球第四大集装箱船运企业CMA CGM,台湾的威刚也在去年成为RagnarLocker的受害者。
FBI表示,虽然他们并不鼓励受害者支付赎金,但也能理解受害者会评估各种可能的选择来保护他们的股东、员工或客户,不管是否支付赎金,都应该向执法机关举报。
评论已关闭。