El FBI advierte sobre la actividad renovada del ransomware Ragnar Locker

El FBI ha emitido una nueva alerta flash sobre nuevos casos de infecciones de ransomware Ragnar Locker. La alerta (MU-000140-MW) se produce aproximadamente siete meses después del primer ataque de Ragnar Locker hace siete meses y tiene como objetivo ayudar a las empresas a protegerse contra la amenaza persistente que ha afectado a las empresas de todo el espectro económico desde abril de 2020.

Resumen de la infección

Para lograr su objetivo, Ragnar Locker debe encontrar su camino hasta la red del objetivo y examinar los datos que contiene.

¡Nota! Antes de que Ragnar Locker entre en acción, verifica la configuración regional del sistema de la víctima a través de la función GetLocaleInfoW de la API de Windows. Si la víctima se encuentra en Azerbaiyán, Armenia, Bielorrusia, Kazajstán, Kirguistán, Moldavia, Tayikistán, Rusia, Turkmenistán, Uzbekistán, Ucrania o Georgia, Ragnar Locker detiene el proceso de infección y no avanza. Aparentemente, los usuarios de PC que residen en cualquiera de esos países están actualmente exentos de los ataques de Ragnar Locker.

De lo contrario, Ragnar Locker utilizará UPX, VMProtect, así como una serie de empaquetadores ejecutables personalizados alternativos para almacenar el ransomware dentro de una computadora virtual con Windows XP y llevar a cabo sus ataques remotos. Mientras examina la red de destino, Ragnar Locker comprueba si hay otras infecciones de malware en curso que ya se hayan iniciado. Después de recopilar todos los detalles necesarios de la red, Ragnar Locker asigna una identificación única a la red objetivo y envía letras a las unidades externas no asignadas.

Un enfoque selectivo

En lugar de bloquear las operaciones normales dentro de la red comprometida, Ragnar Locker deja intactos los archivos del sistema y las herramientas de navegación web para permitir que el proceso de cifrado real se ejecute en segundo plano. Sin embargo, el ransomware bloquea las herramientas de acceso remoto para evitar que los administradores de red intercepten el ataque.

Cartas credenciales

Los delincuentes que utilizan Ragnar Locker aplican varias herramientas de ofuscación de código para mantener el ransomware esquivo. Además, nombran la carga útil utilizada en cada ataque después del nombre NETBIOS del objetivo. este último se adjunta justo al lado de la extensión .RGNR de la carga útil (.RGNR_).

No dejar piedra sin remover

Esta semana en Malware Episodio 33 Parte 2: Campari Beverage Maker y Capcom Gaming Company sufren ataques de ransomware RagnarLocker

Una vez que Ragnar Locker inicia el cifrado, afecta a cada unidad lógica designada dentro de la red. Es más, también se asegura de borrar las copias de seguridad creadas por Volume Shadow Copy Service aplicando los comandos> vssadmin delete shadows / all / quiet y > wmic.exe.shadowcopy.delete. La infección concluye con la nota de rescate, un documento denominado RAGNAR_LOCKER.txt, que contiene el pago del rescate y otras instrucciones.

Medidas preventivas

Al igual que cualquier otro ataque de ransomware, Ragnar Locker es capaz de infligir daños masivos, lo que a menudo cuesta a las víctimas millones para recuperarse. Es por eso que las medidas convencionales relacionadas con el mantenimiento de copias de seguridad fuera de línea, soluciones AV actualizadas, puntos de acceso Wi-Fi seguros y VPN, y herramientas de autenticación de contraseña multifactor deben seguir siendo de suma importancia para las grandes organizaciones y las pequeñas empresas por igual.