近日,美国联邦调查局和网络安全与基础设施安全局联合发布警告称,RagnarLocker勒索组织正在对美国关键基础设施进行攻击规模大。截至2022年1月,FBI已确定受攻击的10个关键基础设施中至少有52个已被破坏,涉及关键制造、能源、金融服务、政府和信息技术领域。资料显示,RagnarLocker勒索病毒于2019年12月底首次出现,2020年4月被FBI发现,此后一直活跃。勒索软件代码很小,去掉自定义加壳后只有48KB,采用高级编程语言(C/C++)编写。与所有勒索软件一样,恶意软件的目标是加密所有文件,并持有解密文件所需的赎金。作为旧勒索软件家族的变种,RagnarLocker勒索软件经常更改混淆技术以避免检测和预防。因此,此次FBI和CISA联合警告的重点是提供可用于检测和阻止RagnarLocker勒索软件攻击的妥协指标(IOC),包括有关攻击基础设施的信息、用于收集赎金的比特币地址以及该团伙的行动。商家使用的电子邮件地址。被RagnarLocker勒索软件组织终止的托管服务提供商(MSP)正在使用远程管理软件(包括ConnectWise、Kaseya)远程管理这些受感染的企业。它还可以帮助攻击者逃避系统检测,确保登录的管理员不会干扰或阻止勒索软件部署过程。分享RagnarLocker攻击信息FBI要求所有检测到RagnarLocker勒索软件的企业和政府安全管理员或专家尽快联系当地的FBICyber??Squad并分享有关攻击的信息。这将有助于识别勒索软件背后攻击者的真实信息,包括勒索票据的副本、勒索要求、恶意活动的时间线、负载样本等。同时,FBI希望被勒索的企业和机构尽量不要向RagnarLocker勒索组织支付赎金,因为即使支付了赎金,也无法保证数据能够解密或不泄露。相反,支付赎金会进一步刺激勒索组织发动更广泛的攻击,吸引更多的攻击者加入勒索队伍。当然,FBI也表示,RagnarLocker确实会对公司造成严重危害,可能会迫使公司支付赎金,以保护股东、客户和员工的权益。在警报中,FBI还分享了防止此类攻击的缓解措施,并强烈敦促受害者尽快向FBI报告袭击事件。参考来源:https://www.bleepingcomputer.com/news/security/fbi-ransomware-gang-breached-52-us-critical-infrastructure-orgs/
