在上週FBI 發佈了被稱為MU-000140-MW的Flash Alert 給各行業的合作夥伴,警告Ragnar Locker攻擊有所增加。該警報包含技術細節,建議的緩解措施,旨在幫助網路安全專業人員防範網路參與者的持續惡意行為。FBI的說法,由Ragnar Locker造成的損害已經在各個行業得到證實,包含雲端服務提供商,電信,建築,旅遊和企業軟體公司等,並且這種情況正持續在上升。
FBI的警報還提到了一名不透露名字的Ragnar Locker的受害者,據說Ragnar Locker背後的駭客團隊威脅要洩漏10TB盜來的數據,包括賬單,合同,交易,客戶和合作夥伴的機密資料,要求約1100萬美元。儘管FBI沒有提供有關這家在4月份被加密的公司的進一步資料,但這些細節與針對跨國能源巨頭葡萄牙Energias de Portugal(EDP)的攻擊完全吻合。
以下是FBI在同一份警報中針對Ragnar Locker的描述:
- Ragnar Locker可以訪問受害者的網路,執行偵察活動,並尋找網路資源,備份或其他敏感檔案以竊取數據。在攻擊的最後階段,攻擊者手動部署勒索軟體來加密受害者的數據。
- Ragnar Locker頻繁切換payloads混淆技術來逃避檢測,以及使用自定義打包演算法並從其系統上部署的Windows XP虛擬機中加密受害者的檔案
- 經過偵察和預部署階段之後,Ragnar Locker參與者會投放高針對性的勒索軟體的執行檔,該執行檔會有“ RGNR_” 的副檔名。
- 勒索軟體具有嵌入式RSA-2048密鑰,並且還在加密系統上投放自定義勒索信。
FBI建議的緩解措施以盡可能減輕損失。
-離線備份重要數據。
-確保在雲端中或外部硬碟或存儲設備上有重要數據的副本。
-隔離備份,使數據不可訪問,無法從數據所在的系統進行修改或刪除。
-在所有主機上安裝防病毒或防惡意體,並定期更新。
-使用安全的網路,避免使用公共Wi-Fi網路。考慮使用VPN。
-使用有強密碼的多因素身份驗證。
-修補電腦設備和應用程式,以使其保持最新狀態
有關Ragnar Locker的情資就在竣盟科技代理的 AlienVault OTX 情資平台上:
https://otx.alienvault.com/pulse/5fb7f6cd3444c292042e41db
Flash Alert:
https://www.waterisac.org/system/files/articles/FLASH-MU-000140-MW.pdf
*****竣盟科技快報歡迎轉載,但請註明出處