Le FBI a publié une nouvelle alerte FLASH le 7 mars 2022, avertissant que la famille de ransomwares RagnarLocker a compromis au moins 52 organisations dans 10 secteurs d'infrastructures critiques, notamment dans les secteurs de l'industrie, de l'énergie, des services financiers, du gouvernement et des technologies de l'information.
Selon l'Identity Theft Resource Center, les attaques de ransomware ont doublé en 2020, et doublé à nouveau en 2021. Mais ce qui est intéressant avec la famille de ransomwares RagnarLocker, c'est qu'elle existe depuis 2019 et qu'elle reste une menace, alors que d'autres familles de ransomwares comme Maze, DarkSide, REvil et BlackMatter se sont retirées ou ont été arrêtées.
En fait, le FBI a publié pour la première fois une alerte FLASH sur la famille de ransomwares RagnarLocker le 19 novembre 2020. Dans cette alerte, le FBI signalait que RagnarLocker ciblait les fournisseurs de services cloud, les entreprises de communication, de construction, de voyage et de logiciels d'entreprise.
Une approche peu commune de l'obscurcissement
RagnarLocker présente plusieurs caractéristiques inhabituelles. Tout d'abord, il interrompt son processus s'il détecte que la machine se trouve dans l'un des pays d'Europe de l'Est, dont la Russie et l'Ukraine, ce qui laisse supposer que le groupe d'attaque (ou l'acteur de la menace) est attribué à l'un de ces pays (comme tant d'autres familles de ransomwares russes).
L'aspect le plus unique de RagnarLocker est la façon dont il échappe à la détection en chiffrant les fichiers avec une précision chirurgicale plutôt que de manière indiscriminée. RagnarLocker commence par interrompre les connexions des fournisseurs de services gérés, créant ainsi une zone d'ombre à partir de laquelle il peut opérer sans être découvert. Ensuite, RagnarLocker supprime silencieusement les copies d'ombre des volumes afin d'empêcher la récupération des fichiers cryptés. Enfin, RagnaLocker crypte les fichiers de manière sélective, en évitant les fichiers et dossiers essentiels au fonctionnement du système, tels que .exe, .dll, Windows et Firefox (entre autres navigateurs) - cette approche permet de ne pas éveiller les soupçons tant que l'attaque n'est pas terminée.
Bien que l'alerte FLASH ne le mentionne pas, d'autres aspects de RagnarLocker rapportés par les médias sont également intéressants. Selon Bleeping Computer, RagnarLocker a émis des avertissements indiquant qu'il ferait fuir les données volées si ses victimes s'adressaient au FBI. Et selon SC Magazine, RagnarLocker a démontré qu'il pouvait observer les forums de discussion de réponse aux incidents. Par ailleurs, l'alerte FLASH du FBI recommande aux organisations de ne pas payer de rançon aux acteurs criminels, car cela pourrait les encourager à cibler d'autres organisations.
Il semble que la meilleure façon d'aborder une situation aussi complexe soit d'éviter de faire l'objet d'une demande de rançon.
Une longue liste de CIO
Bien que la Russie ait procédé à quelques arrestations de familles de ransomware vers la fin de l'année 2021, il est peu probable que ce type de coopération se poursuive en raison du conflit actuel entre la Russie et l'Ukraine. Quoi qu'il en soit, il semble que les mailles du filet se resserrent autour de RagnarLocker, car certains des CIO produits par le FBI sont assez révélateurs - en particulier, il existe plusieurs variantes d'une adresse électronique contenant le nom "Alexey Berdin".
Même si les deux alertes FLASH décrivent les techniques d'obscurcissement de RagnarLocker, il est intéressant d'observer la quantité de renseignements recueillis sur les indicateurs de compromission (IOC) entre novembre 2020 et mars 2022. Outre plus d'une douzaine d'adresses électroniques, le FBI a également publié trois adresses de portefeuilles bitcoin et plus de 30 adresses IP liées à des serveurs de commande et de contrôle (C2) et à l'exfiltration de données.
Le FBI demande à toutes les organisations concernées de lui communiquer d'autres IOC, y compris des IP et des exécutables malveillants.
Les infrastructures critiques dans le collimateur
Pour la plupart des fournisseurs d'infrastructures critiques, RagnarLocker est le rappel le plus récent d'une litanie d'attaques par ransomware, telles que Colonial Pipeline, JBS meatpacking, et Kaseya. Heureusement, OPSWAT est un leader dans la protection des infrastructures critiques.
La protection des infrastructures critiques est un défi en raison de la complexité des intégrations IT/OT et des systèmes SCADA existants, de la difficulté à obtenir une visibilité sur les actifs critiques et de la pénurie de compétences en matière de cybersécurité qui est encore plus prononcée dans le secteur des infrastructures critiques.
RagnarLocker n'est ni la première, ni la dernière, ni la seule famille de ransomware à cibler les secteurs des infrastructures critiques, et il est donc impératif que ces organisations restent vigilantes face à cette menace. Téléchargez le guide de protection des infrastructures critiques de OPSWATpour savoir comment préparer votre organisation dès aujourd'hui.
