ה-FBI פרסם התראת FLASH חדשה ב-7 במרץ 2022, המזהירה כי משפחת תוכנות הכופר RagnarLocker פגעה בלפחות 52 ארגונים ב-10 מגזרי תשתית קריטיים, כולל מגזרי ייצור קריטיים, אנרגיה, שירותים פיננסיים, ממשלה וטכנולוגיית מידע.
על פי מרכז המשאבים לגניבת זהויות , מתקפות כופר הוכפלו בשנת 2020, והוכפלו שוב בשנת 2021. אבל דבר אחד מעניין לגבי משפחת תוכנות הכופר RagnarLocker הוא שהיא קיימת מאז 2019, ומתמשכת כאיום, אפילו כאשר משפחות כופר אחרות כמו Maze, DarkSide, REvil ו-BlackMatter פרשו או נעצרו.
למעשה, ה-FBI פרסם לראשונה התראת FLASH על משפחת תוכנות הכופר RagnarLocker ב-19 בנובמבר 2020. בהתראה זו, הזהיר ה-FBI כי RagnarLocker מכוון לספקי שירותי ענן, חברות תקשורת, בנייה, נסיעות ותוכנה ארגונית.
גישה לא נפוצה לערפול
ל-RagnarLocker יש כמה מאפיינים יוצאי דופן שיש לציין. ראשית, הוא יסיים את התהליך שלו אם הוא מזהה שמיקום המכונה נמצא באחת מכמה מדינות במזרח אירופה, כולל רוסיה ואוקראינה, מה שמרמז על כך שייחוס קבוצת התקיפה (או גורם האיום) הוא לאחת ממדינות אלו (כמו משפחות רבות אחרות של תוכנות כופר רוסיות).
ההיבט הייחודי ביותר של RagnarLocker הוא האופן שבו הוא מתחמק מגילוי על ידי הצפנת קבצים בדיוק כירורגי במקום באופן חסר הבחנה. RagnarLocker מתחיל את התהליך הזה על ידי סיום החיבורים של ספקי שירותים מנוהלים, ויוצר מעטה שממנו הוא יכול לפעול מבלי להתגלות. לאחר מכן, RagnarLocker מוחק בשקט עותקי צל של נפח כדי למנוע שחזור של קבצים מוצפנים. לבסוף, RagnaLocker מצפין קבצים באופן סלקטיבי, תוך הימנעות מקבצים ותיקיות קריטיים לפעולת המערכת, כגון .exe, .dll, Windows ו-Firefox (בין שאר הדפדפנים) - גישה זו מונעת העלאת חשד עד להשלמת ההתקפה.
למרות שהתראת ה-FLASH לא מזכירה זאת, ישנם כמה היבטים נוספים של RagnarLocker שדווחו בתקשורת שהם גם מעניינים. על פי Bleeping Computer , RagnarLocker פרסמה אזהרות כי היא תדליף מידע גנוב אם קורבנותיה יפנו ל-FBI . ולדברי מגזין SC , RagnarLocker הוכיחה שהיא יכולה לצפות בחדרי צ'אט של תגובה לאירועים . בינתיים, התראת ה-FBI FLASH מייעצת לארגונים לא לשלם כופר לגורמים פליליים, מכיוון שהיא עלולה לעודד אותם למקד ארגונים נוספים.
נראה שהגישה הטובה ביותר למצב מורכב שכזה היא להימנע מלכתחילה מלהיות כופר.
רשימה ארוכה של ועדות איגוד האונליין הבינלאומיות
בעוד שרוסיה ביצעה כמה מעצרים מבצעיים של משפחות תוכנות כופר לקראת סוף 2021, לא סביר ששיתוף פעולה מסוג זה יימשך בהתחשב בסכסוך המתמשך בין רוסיה לאוקראינה. למרות זאת, נראה שהרשת מתקרבת סביב RagnarLocker, שכן חלק מהדוחות הבינלאומיים שהפיק ה-FBI חושפניים למדי - בפרט, ישנן מספר וריאציות של כתובת דוא"ל המכילה את השם "אלכסיי ברדין".
למרות ששתי התראות ה-FLASH מתארות את טכניקות ההטעיה של RagnarLocker, מעניין לראות כמה מודיעין נאסף לגבי אינדיקטורים של פשרה (IOCs) בין נובמבר 2020 למרץ 2022. בנוסף ליותר מתריסר כתובות דוא"ל, ה-FBI פרסם גם שלוש כתובות ארנק ביטקוין, ויותר מ-30 כתובות IP הקשורות לשרתי פיקוד ובקרה (C2) ולחילוץ נתונים.
ה-FBI מבקש מכל הארגונים שנפגעו להגיש הודעות IOC נוספות, כולל כתובות IP וקבצי הרצה זדוניים.
תשתיות קריטיות על הכוונת
עבור רוב ספקי התשתיות הקריטיות, RagnarLocker הוא התזכורת האחרונה בשורה של מתקפות כופר, כמו Colonial Pipeline, JBS meatpacking ו-Kaseya. למרבה המזל, OPSWAT מובילה בתחום ההגנה על תשתיות קריטיות .
הגנה על תשתיות קריטיות היא מאתגרת בגלל המורכבות בין שילובי IT/OT לבין מערכות SCADA מדור קודם, הקושי לקבל נראות לנכסים קריטיים, ומחסור מיומנויות אבטחת סייבר בולט אף יותר במגזר התשתיות הקריטיות.
RagnarLocker אינה משפחת תוכנות הכופר הראשונה, האחרונה או היחידה שמכוונה למגזרי תשתית קריטית, ולכן חיוני שארגוני תשתית קריטית אלה יישארו ערניים מפני איום זה. OPSWAT המדריך של להגנה על תשתיות קריטיות כדי ללמוד כיצד להכין את הארגון שלך עוד היום.
