Skrevet af Liam Tung, bidragyder
Liam Tung Bidragyder
Liam Tung er en fuldtids freelance teknologijournalist, som skriver for adskillige australske publikationer.
Fuld bio den 8. marts 2022 | Emne: Sikkerhed Hvordan hackere misbruger værktøjer, du stoler på, til at snuse rundt i dit netværk Se nu
FBI har udsendt en advarsel over RagnarLocker-banden, en gruppe kendt for at bruge snedige teknikker som at køre ransomware inde i en virtuel maskine for at undgå antivirus-detektion.
Det retshåndhævende agentur sagde, at det blev opmærksom på RagnarLocker i april 2020, og at det i januar 2022 havde “identificeret mindst 52 enheder på tværs af 10 kritiske infrastruktursektorer, der er berørt af RagnarLocker.”
Disse omfatter enheder i kritisk produktion, energi, finansielle tjenesteydelser, regering og teknologi. Ransomware-gruppen ændrer ofte sine sløringsteknikker for at undgå opdagelse og forebyggelse, bemærker den.
SE: Hvordan Ruslands invasion af Ukraine truer it-industrien
At implementere RagnarLocker i en nedslidt virtuel forekomst af Windows XP var en af disse sløringsmetoder. Denne taktik gjorde det muligt for gruppen at gemme sig fra lokal antivirussoftware og gav mere tid til at kryptere filer. Gruppen var kendt for kun at vælge virksomhedsmål og har tidligere kompromitteret værktøjer til administrerede tjenesteudbydere for derefter at bryde deres kunder.
FBI's advarsel er indeholdt i en ny Flash-advarsel offentliggjort i koordinering med Cybersecurity and Infrastructure Security Agency.
FBI bemærker, at RagnarLocker stadig installerer i angriberens brugerdefinerede Windows XP virtuelle maskine på et måls websted og derefter begynder at kryptere filer.
“I stedet for at vælge, hvilke filer der skal krypteres, vælger RagnarLocker, hvilke mapper den ikke vil kryptere. Ved at bruge denne tilgang tillader computeren at fungere “normalt”, mens malwaren krypterer filer med kendte og ukendte udvidelser, der indeholder data af værdi til offeret,” oplyser FBI.
FBI bemærker, at hvis det logiske drev, der behandles, er C:-drevet, krypterer det ikke filer fra mapperne med navnet Windows, Windows.old, Mozilla, Mozilla Firefox, Tor-browser, Internet Explorer, $Recycle.Bin, Program Data , Google, Opera eller Opera-software.
Den krypterer heller ikke filer med filtypenavnene .db, .sys, .dll, .lnk, .msi, .drv eller .exe.
FBI har offentliggjort de seneste indikatorer for kompromis fra januar 2022, herunder IP-adresser, Bitcoin-adresser og e-mail-adresser, der bruges af angriberne.
FBI appellerer også til ofrene om at give oplysninger, der kan omfatte: en kopi af løsesumsedlen, eventuelle uopdagede ondsindede IP'er og detaljer om usædvanlige RDP- og VPN-forbindelser, virtuelle valutaadresser, afpresningsbeløb, ondsindede filer, en tidslinje over begivenheder og bevis for dataeksfiltrering.
FBI og US Secret Service (USSS) udsendte en advarsel i sidste måned om BlackByte ransomware og bemærkede, at malwaren havde kompromitteret adskillige amerikanske og udenlandske virksomheder, herunder enheder fra tre amerikanske kritiske infrastruktursektorer i offentlige faciliteter, finansiel , og fødevarer og landbrug.
Sikkerhed
NSA: Sådan bør du sikre dit netværk Ukraine er ved at bygge en 'IT-hær' af frivillige. Det er aldrig blevet prøvet før Dette er, hvad der sker, når to ransomware-bander hacker det samme mål på samme tid. Nogle filer bliver muligvis ikke slettet, når du nulstiller en Windows-pc Sådan sikrer du dit hjemme-/kontornetværk: De bedste DNS-blokkere og firewalls Sikkerheds-tv | Datastyring | CXO | Datacentre