FBIは2022年3月7日、新たなFLASH警報を発表し、RagnarLockerランサムウェア・ファミリーが、重要な製造業、エネルギー、金融サービス、政府、情報技術部門を含む10の重要インフラ部門にわたって、少なくとも52の組織を危険にさらしていると警告した。
Identity Theft Resource Centerによると、ランサムウェア攻撃は2020年に倍増し、2021年にはさらに倍増した。しかし、RagnarLockerランサムウェア・ファミリーについて興味深いことの1つは、Maze、DarkSide、REvil、BlackMatterといった他のランサムウェア・ファミリーが引退したり逮捕されたりしているにもかかわらず、2019年以降も脅威として存続していることだ。
実際、FBIは2020年11月19日にRagnarLockerランサムウェア・ファミリーに関するFLASHアラートを初めて発表した。その警告の中でFBIは、RagnarLockerがクラウドサービスプロバイダー、通信、建設、旅行、およびエンタープライズソフトウェア企業を標的にしていると警告している。
難読化への珍しいアプローチ
RagnarLocker には注意すべきいくつかの珍しい特徴があります。まず、マシンのロケーションがロシアやウクライナを含むいくつかの東欧諸国の1つであることを検出すると、プロセスを終了させます。これは、攻撃グループ(または脅威行為者)の帰属先がこれらの国の1つであることを示唆しています(他の多くのロシアのランサムウェアファミリーのように)。
RagnarLocker の最もユニークな点は、ファイルを無差別に暗号化するのではなく、外科的な精度で暗号化することで検知を回避する方法です。RagnarLocker は、マネージド・サービス・プロバイダーの接続を終了させ、そこから発見されずに動作することができるシュラウドを作成することで、このプロセスを開始します。次に、RagnarLocker は、暗号化されたファイルの復元を防ぐために、ボリューム・シャドウ・コピーを静かに削除します。最後に、RagnaLocker はファイルを選択的に暗号化し、.exe、.dll.、Windows、Firefox (他のブラウザの中でも) などのシステム操作に重要なファイルやフォルダを避けます。このアプローチにより、攻撃が完了するまで疑いを持たれることを回避します。
FLASHの警告では触れられていないが、メディアで報道されているRagnarLockerには他にも興味深い点がいくつかある。Bleeping Computerによると、RagnarLockerは、被害者がFBIに接触した場合、盗まれたデータを流出させるという警告を発している。また、SC Magazineによると、RagnarLockerはインシデント対応のチャットルームを観察できることを実証している。一方、FBIのFLASHアラートでは、犯罪者に身代金を支払うべきではないと忠告している。
このような複雑な状況に対する最善の方法は、そもそも身代金要求されないようにすることだと思われる。
IOCの長いリスト
ロシアは2021年末にランサムウェアファミリーを逮捕するパフォーマンスを行ったが、ロシアとウクライナの紛争が続いていることを考えると、このような協力が続くとは思えない。とはいえ、FBIが作成したIOCの中には、特に "Alexey Berdin "という名前を含む電子メールアドレスのバリエーションがいくつかあるなど、RagnarLockerをめぐる網はかなり狭まっているようだ。
どちらのFLASHアラートも、RagnarLockerの難読化技術について記述しているとはいえ、2020年11月から2022年3月までの間に、侵害の指標(IOC)についてどれだけのインテリジェンスが収集されたかを観察することは興味深い。FBIは、12以上の電子メールアドレスに加えて、3つのビットコイン・ウォレット・アドレス、コマンド・アンド・コントロール(C2)サーバーとデータ流出に関連する30以上のIPアドレスも公表しています。
FBIは被害を受けた組織に対し、悪意のあるIPや実行ファイルを含む追加のIOCを提供するよう求めている。
十字線上の重要インフラ
ほとんどの重要インフラ・プロバイダーにとって、RagnarLockerは、Colonial Pipeline、JBS meatpacking、Kaseyaといったランサムウェア攻撃の数々における最も最近の思い起こさせるものである。幸いなことに、OPSWAT は重要インフラ保護のリーダーである。
重要インフラの保護は、IT/OT統合とレガシーSCADAシステムとの間の複雑さ、重要資産への可視性を得ることの難しさ、重要インフラ部門でさらに顕著であるサイバーセキュリティスキル不足のために困難である。
RagnarLocker は、重要インフラ部門を標的とする最初でも最後でも唯一でもないランサムウェア・ファミリーであるため、重要インフラ組織はこの脅威に対する警戒を怠らないことが不可欠です。OPSWAT「Guide to Critical Infrastructure Protection」をダウンロードして、今すぐ組織を準備する方法を学んでください。
