RagnarLocker es una operación de ransomware detectada por primera vez en 2020 y que se ha mantenido activa a pesar de los constantes cambios y las medidas implementadas por los gobiernos de todo el mudo contra este tipo de grupos.
Desde inicios de 2022, el Buró Federal de Investigaciones (FBI) ha identificado al menos 52 organizaciones infectadas con ransomware en 10 sectores de infraestructura crítica, incluyendo la manufactura, servicios financieros, energía, tecnología de la información y entidades gubernamentales.
RagnarLocker es fácilmente identificable, ya que usa la extensión “.RGNR_<ID>”, donde <ID> es un hash del nombre NETBIOS de la computadora. Una vez que se ha completado el proceso de cifrado, los actores de amenazas dejan una nota de rescate con instrucciones para realizar el pago y descifrar la información afectada. RagnarLocker utiliza VMProtect, UPX y algoritmos de empaquetado personalizados y se implementa dentro de una máquina virtual Windows XP personalizada de un atacante en el sitio de un objetivo.
RagnarLocker también utiliza la API de Windows GetLocaleInfoW para identificar la ubicación de la máquina infectada. Si la víctima potencial es identificada como de origen azerbaiyano, armenio, bielorruso, kazajo, kirguís, moldavo, tayiko, ruso, turcomano, uzbeco, ucraniano, o georgiano, el proceso se cortará de tajo.
Posteriormente, el malware itera a través de todos los servicios ejecutados y finaliza los servicios empleados por los proveedores de servicios administrados para la administración remota de redes. El malware también intentará eliminar todas las shadow copies, impidiendo que las víctimas recuperen los archivos comprometidos.
Finalmente, RagnarLocker cifra todos los archivos de interés disponibles. En lugar de elegir qué archivos cifrar, RagnarLocker elige qué carpetas se dejarán sin cifrar, por lo que los dispositivos afectados seguirán trabajando con normalidad mientras cientos de archivos de las víctimas son infectados en segundo plano.
El FBI considera que RagnarLocker es una amenaza activa y cuya actividad podría resultar altamente perjudicial para la infraestructura crítica de E.U., por lo que los administradores de sistemas deben implementar algunas de las siguientes recomendaciones:
- Habilitar copias de seguridad de datos críticos fuera de línea
- No compartir información crítica desde una red comprometida.
- Usar autenticación multifactor y contraseñas seguras, incluso para los servicios de acceso remoto
- Mantener las computadoras, dispositivos y aplicaciones siempre actualizadas a la más reciente versión disponible
La Agencia también recomienda no negociar con los grupos cibercriminales, ya que en ocasiones esto puede resultar en un peor escenario para las víctimas.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
