Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Uno sguardo a RagnarLocker, tra storia, vittime, TTPs e IoC.

Davide Santoro : 9 Marzo 2022 15:16

Autore: Davide Santoro
Data Pubblicazione: 09/03/2022

L’FBI è venuto a conoscenza per la prima volta di RagnarLocker nell’Aprile 2020 producendo un report contenente gli indicatori di compromissione conosciuti.

A partire da gennaio 2022 l’FBI ha identificato almeno 52 entità in 10 settori di infrastrutture critiche interessate dal ransomware RagnarLocker, tra le quali i settori critici di produzione, energia, servizi finanziari, settore governativo e informatico.

Vuoi diventare un Ethical Hacker?
Non perdere i nostri corsi e scrivi subito su WhatsApp al numero
375 593 1011  per richiedere informazioni dicendo che hai trovato il numero sulle pagine di Red Hot Cyber

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Il ransomware RagnarLocker lavora come parte di una famiglia di ransomware cambiando frequentemente tecniche di offuscamento per evitare il rilevamento ed eventuali misure di prevenzione.

Scopriamo di cosa si tratta in questo articolo.

Uno sguardo alla cyber gang

RagnarLocker utilizza la tattica oramai consolidata del RaaS della “doppia estorsione”, in cui l’attaccante prima esfiltra i dati sensibili, per poi attivare la crittografia dei file, minacciando di far trapelare i dati rubati se l’organizzazione si rifiuta di pagare il riscatto.

Si tratta di una operazione cyber-criminale rilevata per la prima volta alla fine del 2019, probabilmente proveniente dall’Europa dell’Est.

Il primo grande attacco svolto dalla cyber-gang è stata la compagnia elettrica portoghese Energias de Portugal, alla quale ha richiesto 10 milioni di dollari di riscatto minacciando di far trapelare 10 terabyte di dati.

Possiamo citare altre vittime come la Capcom, una società di videogiochi, e la Campari, una società di bevande italiana, violata a novembre del 2019, alla quale sono stati chiesti 15 milioni di dollari di riscatto.

Home page del Data Leak Site (DLS) della cyber gang Ragnar Locker


Dettagli tecnici:

RagnarLocker viene identificato dall’estensione  “.RGNR_,” dove è un hash del nome NETBIOS del computer. Gli attori si identificano come “RagnarLocker” e lasciano una nota di riscatto in formato .txt contenente istruzioni su come pagare il riscatto e decifrare i dati.

RagnarLocker utilizza VMProtect, UPX ed algoritmi di compressione personalizzati diffondendosi attraverso una macchina virtuale Windows XP dell’attaccante personalizzata su un obiettivo.

RagnarLocker utilizza l’API di Windows GetLocaleInfoW per identificare l’ubicazione della macchina infettata. Se la vittima viene identificata come “Azerbaijian”, “Armenia”, “Bielorussia”, “Kazakhistan”, “Kirghyzistan”, “Moldavia”, “Tagikistan”, “Russia”, “Turkmenistan”, “Uzbekistan”, “Ucraina” o “Georgia” il processo di infezione viene immediatamente terminato.

Inoltre, RagnarLocker effettua una verifica delle infezioni in corso per prevenire la crittografia multipla dei dati che porterebbe al rischio di corromperli.

RagnarLocker raccoglie il GUID univoco della macchina, il nome del sistema operativo ed il nome utente che sta effettuando il processo. Questi dati vengono inviati attraverso un algoritmo personalizzato di hash in grado di generare un identificatore univoco: - --- .

RagnarLocker identifica tutti gli hard drive collegati utilizzando alcune API di Windows: CreateFileW, DeviceIoControl, GetLogicalDrives e SetVolumeMountPointA.

A questo punto il ransomware assegna una lettera di unità a tutti i volumi a cui non è stata assegnata una lettera di unità logica rendendoli accessibili, andandoli quindi a cifrare durante la fase finale del processo.

Inoltre, RagnarLocker analizza tutti i processi in corso andando a terminare i servizi comunemente usati per gestire le reti in maniera remota andando a cancellare silenziosamente tutte le copie nascoste dei volumi impedendo così all’utente il recupero dei file cifrati e per farlo utilizza due metodi differenti:

  • >vssadmin delete shadows /all /quiet
  • >wmic.exe.shadowcopy.delete

Infine, RagnarLocker andrà a cifrare tutti i file di interesse disponibili e, invece di scegliere quali file andare a cifrare, RagnarLocker sceglie quali cartelle non cifrare.

Utilizzando questo approccio il malware potrà funzionare silenziosamente in quanto il computer continuerà a funzionare “normalmente” mentre il ransomware andrà a cifrare i dati (sia quelli con estensioni note che quelli con estensioni sconosciute) contenenti informazioni di valore per la vittima; per fare un esempio pratico se l’unità dell’utente è l’unità C:, il malware non cifrerà i file contenenti nelle seguenti cartelle:

  • Windows
  • Windows.old
  • Mozilla
  • Mozilla Firefox
  • Tor browser
  • Internet Explorer
  • $Recycle.Bin
  • Program Data
  • Google
  • Opera
  • Opera Software

Inoltre, nella sua interazione con i file, il malware non cifrerà i file con le seguenti estensioni:

  • .db
  • .sys
  • .dll
  • .lnk
  • .msi
  • .drv
  • .exe

Indicatori di compromissione:

I seguenti indicatori di compromissione fanno riferimento al malware RagnarLocker:

Indirizzo IPContestoTimeframe
185.138.164.18IP che accede al confluence server2021-09-03 10:53:56 – 2021-09-
185.172.129.215IP che accede al confluence server2021-09-01 20:49:56 – 2021-09- 03 10:45:50
45.144.29.2IP che accede al confluence server2021-09-12 21:34:13 -02021-09- 16 14:28:19
23.106.122.192IP apparso con il malware proxy updt32.ext2021-09-27 20:07
45.90.59.131Risoluzione IP per il dominio C2 secanalytics2021-09-17 16:27
149.28.200.140Indirizzo IP coinvolto in attività PSCP2021-09-10 19:20
193.42.36.53Risoluzione dell’indirizzo IP per windows-analyticsprod12ms[.]com2021-10-01 14:41
45.63.89.250Indirizzo IP riconducibile a ctlmon.exe – malware GOTROJ2021-09-11 13:13
190.211.254.181Indirizzo IP coinvolto nell’esfiltrazione di dati2021-10-27 11:30:35
142.44.236.38Indirizzo IP coinvolto nell’esfiltrazione di dati2021-11-03 8:16
37.120.238.107Indirizzo IP coinvolto nell’esfiltrazione di dati2021-10-19 21:22:48 – 2021-10- 26 13:12:56
95.216.196.181C2 embeddato nel malware ( snmp.dat and bash.dat and esync.exe )2021-11-11 19:20
162.55.38.44C2 embeddato nel malware ( snmp.dat and bash.dat and esync.exe )2021-11-11 19:20
116.203.132.32C2 embeddato nel malware ( snmp.dat and bash.dat and esync.exe )2021-11-11 19:20
49.12.212.231 C2 embeddato nel malware ( snmp.dat and bash.dat and esync.exe )2021-11-11 19:20
193.42.39.10Visto come argomento per inetinfo.exe2021-11-22 17:12
193.111.153.24(ssl-secure-com2048[.]com) – bash, snmp, 7z, e psexec scaricati da questo dominio2021-11-18 20:38
178.32.222.98Indirizzo IP coinvolto nell’esfiltrazione di dati2021-10-30 16:25
23.227.202.72Indirizzo IP coinvolto nell’esfiltrazione di dati2021-11-26 14:18:21 – 2021-12- 14 11:12:19
159.89.163Attività sconosciuta2021-06-05
50.201.185.11Attività sconosciuta2021-03-26 19:28 UTC +3
47.35.60.92Attività sconosciuta2021-09-03 11:40 UTC +3
108.26.193.165Attività sconosciuta2021-05-13 14:01 GMT +3
108.26.193.165Attività sconosciuta2021-03-25 17:16:55 GMT +1
198.12.81.56Attività sconosciuta2021-10/11
198.12.127.199Attività sconosciuta2021-10/11
45.91.93.75Attività sconosciuta2021-03-18
217.25.93.106Attività sconosciuta2021-03-21
45.146.164.193Attività sconosciuta2020-10-05
89.40.10.25Attività sconosciuta2020-10-10
5.45.65.52Attività sconosciutaTimeframe sconosciuto
79.141.160.43 (URL: izugz.envisting.xyz)Attività sconosciuta2021-05-24
Indirizzi Bitcoin:Timeframe:
19kcqKevFZhiX7NFLa5wAw4JBjWLcpwp3e2021-04-30
1CG8RAqNaJCrmEdVLK7mm2mTuuK28dkzCU2021-03
151Ls8urp6e2D1oXjEQAkvqogSn3TS8pp62021-02-27
Indirizzi email:Timeframe:
[email protected]2021-04-03
[email protected]2021-05-25
[email protected]Timeframe sconosciuto
[email protected]Timeframe sconosciuto
[email protected]Timeframe sconosciuto
[email protected]Timeframe sconosciuto
[email protected]Timeframe sconosciuto
[email protected]Timeframe sconosciuto
[email protected]Timeframe sconosciuto
[email protected]Timeframe sconosciuto
[email protected]Timeframe sconosciuto
[email protected]Timeframe sconosciuto
[email protected]Timeframe sconosciuto

Informazioni da fornire alle autorità:

L’FBI (inteso ovviamente come forze dell’ordine degli Stati Uniti D’America) potrebbe richiedervi le seguenti informazioni:

A breve termine:

  • Copia della nota di riscatto (screenshot, foto e file di testo);
  • Eventuali IP dannosi scoperti con timestamp e fusi orari(connessioni insolite RDP, connessioni VPN insolite, attività verso IP malevoli);
  • Indirizzi di criptovaluta/importo richiesto;
  • Qualunque file malevolo(eseguibili/binari);
  • Sommario della timeline degli eventi(inizio dell’osservazione/attività malevola);
  • Prove dell’esfiltrazione di dati.

Questioni a lungo termine:

  • Breve sommario circa la provenienza degli indicatori di compromissione;
  • Rapporto relativo all’incident response;
  • Copia di qualsiasi comunicazione avvenuta con gli attori malevoli;
  • Immagini forensi ed acquisizioni di memoria;
  • Log di host e di rete;
  • Qualunque decryptor disponibile;
  • Stima dei danni.

Attività di mitigazione raccomandate:

  • Avere un backup dei dati critici offline;
  • Assicurati che le copie dei dati critici siano sul cloud, su un hard disk esterno o su un dispositivo di memoria, assicurati che queste informazioni non siano accessibili dalla rete compromessa;
  • Proteggi i tuoi backup assicurandoti che i dati non siano disponibili per eventuali modifiche o cancellazioni dal sistema;
  • Utilizza l’autenticazione a più fattori con password robuste anche per i servizi con accesso remoto
  • Mantieni i computer, i dispositivi e le applicazioni aggiornati;
  • Monitora le segnalazioni di minacce informatiche relative alla pubblicazione di dati di login per VPN compromesse assicurandoti di cambiare password ed impostazioni;
  • Considera la possibilità di aggiungere un banner alle email ricevute dall’esterno della tua organizzazione;
  • Disabilita le porte di accesso remoto inutilizzate/Remote Desktop Protocol(RDP) e monitora costantemente i log relativi all’accesso remoto/RDP;
  • Controlla attentamente gli account degli utenti con privilegi da amministratore e configura i controlli di accesso con il minimo dei privilegi necessari;
  • Implementa la network segmentation ( divisione del network in parti più piccole in cui ogni parte agisce come network a sé stante fornendo ai team di sicurezza un aumento del controllo relativo al traffico presente nei sistemi ).

Davide Santoro
Da sempre patito di sicurezza informatica e geopolitica cerca da sempre di unire queste due passioni, ultimamente ho trovato soddisfazione nell’analisi dei gruppi ransomware, si occupa principalmente di crittografia ed è un sostenitore del software libero.