Вымогатель RagnarLocker заразил как минимум 52 организации КИ в США

[Artifact]

ФБР настоятельно просит жертв вымогателей сообщать о кибератаках и не платить выкуп.

Кибервымогательская группировка RagnarLocker уже заразила как минимум 52 организации критической инфраструктуры в США, в частности в сфере производства, электроэнергетики, финансов, информационных технологий, а также правительственные организации. Об этом сообщается в опубликованном на днях новом уведомлении ФБР.
Бюро впервые стало известно о группировке RagnarLocker и ее предпочтительной тактике двойного вымогательства в начале 2020 года. Злоумышленники похищают чувствительные данные, шифруют системы жертв и угрожают опубликовать похищенную информацию, если не будет уплачен выкуп.
Вымогательское ПО RagnarLocker добавляет в конец зашифрованных файлов расширение .RGNR_<ID>, где <ID> - это хэш имени NETBIOS компьютера. Злоумышленники, подписывающиеся RAGNAR_LOCKER, оставляют на зараженной системе записку в формате .txt с требованием выкупа и инструкциями по его уплате. RagnarLocker использует VMProtect, UPX и кастомные алгоритмы упаковки и развертывается на кастомной виртуальной машине Windows XP злоумышленников.
С помощью Windows API GetLocaleInfoW вредонос идентифицирует местоположение атакуемой системы. Если система находится в одной из десятка избранных стран в Европе и Азии, включая Украину и Россию, процесс заражения завершается.
После развертывания вымогатель отключает сервисы, часто используемые провайдерами управляемых сервисов для удаленного контроля над сетями, и скрыто удаляет все теневые копии документов, поэтому пользователи не могут восстановить зашифрованные файлы.
В конечном итоге, RagnarLocker шифрует данные атакуемой организации. Примечательно, что вредонос выбирает не файлы, которые нужно зашифровать, а папки, которые шифровать не нужно. Такая тактика позволяет компьютеру продолжать работать в нормальном режиме, пока RagnarLocker шифрует файлы с известными и неизвестными расширениями, содержащие важные для жертвы данные.
К примеру, если том обрабатывается на диске C:, вредонос не шифрует папки с именами Windows, Windows.old, Mozilla, Mozilla Firefox, Tor browser, Internet Explorer, $Recycle.Bin, Program Data, Google, Opera и Opera Software.
ФБР настоятельно просит жертв вымогателей сообщать о кибератаках и не платить выкуп, хотя и «понимает, что компаниям может быть сложно принять такое решение». Руководство должно «оценить все варианты, чтобы защитить своих акционеров, сотрудников и клиентов», прежде чем решать платить.