Davide Santoro : 9 Marzo 2022 15:16
Autore: Davide Santoro
Data Pubblicazione: 09/03/2022
L’FBI è venuto a conoscenza per la prima volta di RagnarLocker nell’Aprile 2020 producendo un report contenente gli indicatori di compromissione conosciuti.
A partire da gennaio 2022 l’FBI ha identificato almeno 52 entità in 10 settori di infrastrutture critiche interessate dal ransomware RagnarLocker, tra le quali i settori critici di produzione, energia, servizi finanziari, settore governativo e informatico.
Vuoi diventare un Ethical Hacker?
Non perdere i nostri corsi e scrivi subito su WhatsApp al numero
375 593 1011
per richiedere informazioni dicendo che hai trovato il numero sulle pagine di Red Hot Cyber
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Il ransomware RagnarLocker lavora come parte di una famiglia di ransomware cambiando frequentemente tecniche di offuscamento per evitare il rilevamento ed eventuali misure di prevenzione.
Scopriamo di cosa si tratta in questo articolo.
RagnarLocker utilizza la tattica oramai consolidata del RaaS della “doppia estorsione”, in cui l’attaccante prima esfiltra i dati sensibili, per poi attivare la crittografia dei file, minacciando di far trapelare i dati rubati se l’organizzazione si rifiuta di pagare il riscatto.
Si tratta di una operazione cyber-criminale rilevata per la prima volta alla fine del 2019, probabilmente proveniente dall’Europa dell’Est.
Il primo grande attacco svolto dalla cyber-gang è stata la compagnia elettrica portoghese Energias de Portugal, alla quale ha richiesto 10 milioni di dollari di riscatto minacciando di far trapelare 10 terabyte di dati.
Possiamo citare altre vittime come la Capcom, una società di videogiochi, e la Campari, una società di bevande italiana, violata a novembre del 2019, alla quale sono stati chiesti 15 milioni di dollari di riscatto.
RagnarLocker viene identificato dall’estensione “.RGNR_
RagnarLocker utilizza VMProtect, UPX ed algoritmi di compressione personalizzati diffondendosi attraverso una macchina virtuale Windows XP dell’attaccante personalizzata su un obiettivo.
RagnarLocker utilizza l’API di Windows GetLocaleInfoW per identificare l’ubicazione della macchina infettata. Se la vittima viene identificata come “Azerbaijian”, “Armenia”, “Bielorussia”, “Kazakhistan”, “Kirghyzistan”, “Moldavia”, “Tagikistan”, “Russia”, “Turkmenistan”, “Uzbekistan”, “Ucraina” o “Georgia” il processo di infezione viene immediatamente terminato.
Inoltre, RagnarLocker effettua una verifica delle infezioni in corso per prevenire la crittografia multipla dei dati che porterebbe al rischio di corromperli.
RagnarLocker raccoglie il GUID univoco della macchina, il nome del sistema operativo ed il nome utente che sta effettuando il processo. Questi dati vengono inviati attraverso un algoritmo personalizzato di hash in grado di generare un identificatore univoco:
RagnarLocker identifica tutti gli hard drive collegati utilizzando alcune API di Windows: CreateFileW, DeviceIoControl, GetLogicalDrives e SetVolumeMountPointA.
A questo punto il ransomware assegna una lettera di unità a tutti i volumi a cui non è stata assegnata una lettera di unità logica rendendoli accessibili, andandoli quindi a cifrare durante la fase finale del processo.
Inoltre, RagnarLocker analizza tutti i processi in corso andando a terminare i servizi comunemente usati per gestire le reti in maniera remota andando a cancellare silenziosamente tutte le copie nascoste dei volumi impedendo così all’utente il recupero dei file cifrati e per farlo utilizza due metodi differenti:
Infine, RagnarLocker andrà a cifrare tutti i file di interesse disponibili e, invece di scegliere quali file andare a cifrare, RagnarLocker sceglie quali cartelle non cifrare.
Utilizzando questo approccio il malware potrà funzionare silenziosamente in quanto il computer continuerà a funzionare “normalmente” mentre il ransomware andrà a cifrare i dati (sia quelli con estensioni note che quelli con estensioni sconosciute) contenenti informazioni di valore per la vittima; per fare un esempio pratico se l’unità dell’utente è l’unità C:, il malware non cifrerà i file contenenti nelle seguenti cartelle:
Inoltre, nella sua interazione con i file, il malware non cifrerà i file con le seguenti estensioni:
I seguenti indicatori di compromissione fanno riferimento al malware RagnarLocker:
Indirizzo IP | Contesto | Timeframe |
185.138.164.18 | IP che accede al confluence server | 2021-09-03 10:53:56 – 2021-09- |
185.172.129.215 | IP che accede al confluence server | 2021-09-01 20:49:56 – 2021-09- 03 10:45:50 |
45.144.29.2 | IP che accede al confluence server | 2021-09-12 21:34:13 -02021-09- 16 14:28:19 |
23.106.122.192 | IP apparso con il malware proxy updt32.ext | 2021-09-27 20:07 |
45.90.59.131 | Risoluzione IP per il dominio C2 secanalytics | 2021-09-17 16:27 |
149.28.200.140 | Indirizzo IP coinvolto in attività PSCP | 2021-09-10 19:20 |
193.42.36.53 | Risoluzione dell’indirizzo IP per windows-analyticsprod12ms[.]com | 2021-10-01 14:41 |
45.63.89.250 | Indirizzo IP riconducibile a ctlmon.exe – malware GOTROJ | 2021-09-11 13:13 |
190.211.254.181 | Indirizzo IP coinvolto nell’esfiltrazione di dati | 2021-10-27 11:30:35 |
142.44.236.38 | Indirizzo IP coinvolto nell’esfiltrazione di dati | 2021-11-03 8:16 |
37.120.238.107 | Indirizzo IP coinvolto nell’esfiltrazione di dati | 2021-10-19 21:22:48 – 2021-10- 26 13:12:56 |
95.216.196.181 | C2 embeddato nel malware ( snmp.dat and bash.dat and esync.exe ) | 2021-11-11 19:20 |
162.55.38.44 | C2 embeddato nel malware ( snmp.dat and bash.dat and esync.exe ) | 2021-11-11 19:20 |
116.203.132.32 | C2 embeddato nel malware ( snmp.dat and bash.dat and esync.exe ) | 2021-11-11 19:20 |
49.12.212.231 | C2 embeddato nel malware ( snmp.dat and bash.dat and esync.exe ) | 2021-11-11 19:20 |
193.42.39.10 | Visto come argomento per inetinfo.exe | 2021-11-22 17:12 |
193.111.153.24 | (ssl-secure-com2048[.]com) – bash, snmp, 7z, e psexec scaricati da questo dominio | 2021-11-18 20:38 |
178.32.222.98 | Indirizzo IP coinvolto nell’esfiltrazione di dati | 2021-10-30 16:25 |
23.227.202.72 | Indirizzo IP coinvolto nell’esfiltrazione di dati | 2021-11-26 14:18:21 – 2021-12- 14 11:12:19 |
159.89.163 | Attività sconosciuta | 2021-06-05 |
50.201.185.11 | Attività sconosciuta | 2021-03-26 19:28 UTC +3 |
47.35.60.92 | Attività sconosciuta | 2021-09-03 11:40 UTC +3 |
108.26.193.165 | Attività sconosciuta | 2021-05-13 14:01 GMT +3 |
108.26.193.165 | Attività sconosciuta | 2021-03-25 17:16:55 GMT +1 |
198.12.81.56 | Attività sconosciuta | 2021-10/11 |
198.12.127.199 | Attività sconosciuta | 2021-10/11 |
45.91.93.75 | Attività sconosciuta | 2021-03-18 |
217.25.93.106 | Attività sconosciuta | 2021-03-21 |
45.146.164.193 | Attività sconosciuta | 2020-10-05 |
89.40.10.25 | Attività sconosciuta | 2020-10-10 |
5.45.65.52 | Attività sconosciuta | Timeframe sconosciuto |
79.141.160.43 (URL: izugz.envisting.xyz) | Attività sconosciuta | 2021-05-24 |
Indirizzi Bitcoin: | Timeframe: |
19kcqKevFZhiX7NFLa5wAw4JBjWLcpwp3e | 2021-04-30 |
1CG8RAqNaJCrmEdVLK7mm2mTuuK28dkzCU | 2021-03 |
151Ls8urp6e2D1oXjEQAkvqogSn3TS8pp6 | 2021-02-27 |
Indirizzi email: | Timeframe: |
[email protected] | 2021-04-03 |
[email protected] | 2021-05-25 |
[email protected] | Timeframe sconosciuto |
[email protected] | Timeframe sconosciuto |
[email protected] | Timeframe sconosciuto |
[email protected] | Timeframe sconosciuto |
[email protected] | Timeframe sconosciuto |
[email protected] | Timeframe sconosciuto |
[email protected] | Timeframe sconosciuto |
[email protected] | Timeframe sconosciuto |
[email protected] | Timeframe sconosciuto |
[email protected] | Timeframe sconosciuto |
[email protected] | Timeframe sconosciuto |
L’FBI (inteso ovviamente come forze dell’ordine degli Stati Uniti D’America) potrebbe richiedervi le seguenti informazioni:
A breve termine:
Questioni a lungo termine:
Copyright @ 2003 – 2024 RED HOT CYBER
PIVA 16821691009