Davide Santoro : 9 Marzo 2022 15:16
Autore: Davide Santoro
Data Pubblicazione: 09/03/2022
L’FBI è venuto a conoscenza per la prima volta di RagnarLocker nell’Aprile 2020 producendo un report contenente gli indicatori di compromissione conosciuti.
A partire da gennaio 2022 l’FBI ha identificato almeno 52 entità in 10 settori di infrastrutture critiche interessate dal ransomware RagnarLocker, tra le quali i settori critici di produzione, energia, servizi finanziari, settore governativo e informatico.
Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber"Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi". Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca. Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare. Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected] ![]() Supporta RHC attraverso:
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Il ransomware RagnarLocker lavora come parte di una famiglia di ransomware cambiando frequentemente tecniche di offuscamento per evitare il rilevamento ed eventuali misure di prevenzione.
Scopriamo di cosa si tratta in questo articolo.
RagnarLocker utilizza la tattica oramai consolidata del RaaS della “doppia estorsione”, in cui l’attaccante prima esfiltra i dati sensibili, per poi attivare la crittografia dei file, minacciando di far trapelare i dati rubati se l’organizzazione si rifiuta di pagare il riscatto.
Si tratta di una operazione cyber-criminale rilevata per la prima volta alla fine del 2019, probabilmente proveniente dall’Europa dell’Est.
Il primo grande attacco svolto dalla cyber-gang è stata la compagnia elettrica portoghese Energias de Portugal, alla quale ha richiesto 10 milioni di dollari di riscatto minacciando di far trapelare 10 terabyte di dati.
Possiamo citare altre vittime come la Capcom, una società di videogiochi, e la Campari, una società di bevande italiana, violata a novembre del 2019, alla quale sono stati chiesti 15 milioni di dollari di riscatto.
RagnarLocker viene identificato dall’estensione “.RGNR_<ID>,” dove <ID> è un hash del nome NETBIOS del computer. Gli attori si identificano come “RagnarLocker” e lasciano una nota di riscatto in formato .txt contenente istruzioni su come pagare il riscatto e decifrare i dati.
RagnarLocker utilizza VMProtect, UPX ed algoritmi di compressione personalizzati diffondendosi attraverso una macchina virtuale Windows XP dell’attaccante personalizzata su un obiettivo.
RagnarLocker utilizza l’API di Windows GetLocaleInfoW per identificare l’ubicazione della macchina infettata. Se la vittima viene identificata come “Azerbaijian”, “Armenia”, “Bielorussia”, “Kazakhistan”, “Kirghyzistan”, “Moldavia”, “Tagikistan”, “Russia”, “Turkmenistan”, “Uzbekistan”, “Ucraina” o “Georgia” il processo di infezione viene immediatamente terminato.
Inoltre, RagnarLocker effettua una verifica delle infezioni in corso per prevenire la crittografia multipla dei dati che porterebbe al rischio di corromperli.
RagnarLocker raccoglie il GUID univoco della macchina, il nome del sistema operativo ed il nome utente che sta effettuando il processo. Questi dati vengono inviati attraverso un algoritmo personalizzato di hash in grado di generare un identificatore univoco: <HashedMachineGuid>- <HashedWindowsProductName>-<HashedUser>-<HashedComputerName>- <HashedAllDataTogether>.
RagnarLocker identifica tutti gli hard drive collegati utilizzando alcune API di Windows: CreateFileW, DeviceIoControl, GetLogicalDrives e SetVolumeMountPointA.
A questo punto il ransomware assegna una lettera di unità a tutti i volumi a cui non è stata assegnata una lettera di unità logica rendendoli accessibili, andandoli quindi a cifrare durante la fase finale del processo.
Inoltre, RagnarLocker analizza tutti i processi in corso andando a terminare i servizi comunemente usati per gestire le reti in maniera remota andando a cancellare silenziosamente tutte le copie nascoste dei volumi impedendo così all’utente il recupero dei file cifrati e per farlo utilizza due metodi differenti:
Infine, RagnarLocker andrà a cifrare tutti i file di interesse disponibili e, invece di scegliere quali file andare a cifrare, RagnarLocker sceglie quali cartelle non cifrare.
Utilizzando questo approccio il malware potrà funzionare silenziosamente in quanto il computer continuerà a funzionare “normalmente” mentre il ransomware andrà a cifrare i dati (sia quelli con estensioni note che quelli con estensioni sconosciute) contenenti informazioni di valore per la vittima; per fare un esempio pratico se l’unità dell’utente è l’unità C:, il malware non cifrerà i file contenenti nelle seguenti cartelle:
Inoltre, nella sua interazione con i file, il malware non cifrerà i file con le seguenti estensioni:
I seguenti indicatori di compromissione fanno riferimento al malware RagnarLocker:
Indirizzo IP | Contesto | Timeframe |
185.138.164.18 | IP che accede al confluence server | 2021-09-03 10:53:56 – 2021-09- |
185.172.129.215 | IP che accede al confluence server | 2021-09-01 20:49:56 – 2021-09- 03 10:45:50 |
45.144.29.2 | IP che accede al confluence server | 2021-09-12 21:34:13 -02021-09- 16 14:28:19 |
23.106.122.192 | IP apparso con il malware proxy updt32.ext | 2021-09-27 20:07 |
45.90.59.131 | Risoluzione IP per il dominio C2 secanalytics | 2021-09-17 16:27 |
149.28.200.140 | Indirizzo IP coinvolto in attività PSCP | 2021-09-10 19:20 |
193.42.36.53 | Risoluzione dell’indirizzo IP per windows-analyticsprod12ms[.]com | 2021-10-01 14:41 |
45.63.89.250 | Indirizzo IP riconducibile a ctlmon.exe – malware GOTROJ | 2021-09-11 13:13 |
190.211.254.181 | Indirizzo IP coinvolto nell’esfiltrazione di dati | 2021-10-27 11:30:35 |
142.44.236.38 | Indirizzo IP coinvolto nell’esfiltrazione di dati | 2021-11-03 8:16 |
37.120.238.107 | Indirizzo IP coinvolto nell’esfiltrazione di dati | 2021-10-19 21:22:48 – 2021-10- 26 13:12:56 |
95.216.196.181 | C2 embeddato nel malware ( snmp.dat and bash.dat and esync.exe ) | 2021-11-11 19:20 |
162.55.38.44 | C2 embeddato nel malware ( snmp.dat and bash.dat and esync.exe ) | 2021-11-11 19:20 |
116.203.132.32 | C2 embeddato nel malware ( snmp.dat and bash.dat and esync.exe ) | 2021-11-11 19:20 |
49.12.212.231 | C2 embeddato nel malware ( snmp.dat and bash.dat and esync.exe ) | 2021-11-11 19:20 |
193.42.39.10 | Visto come argomento per inetinfo.exe | 2021-11-22 17:12 |
193.111.153.24 | (ssl-secure-com2048[.]com) – bash, snmp, 7z, e psexec scaricati da questo dominio | 2021-11-18 20:38 |
178.32.222.98 | Indirizzo IP coinvolto nell’esfiltrazione di dati | 2021-10-30 16:25 |
23.227.202.72 | Indirizzo IP coinvolto nell’esfiltrazione di dati | 2021-11-26 14:18:21 – 2021-12- 14 11:12:19 |
159.89.163 | Attività sconosciuta | 2021-06-05 |
50.201.185.11 | Attività sconosciuta | 2021-03-26 19:28 UTC +3 |
47.35.60.92 | Attività sconosciuta | 2021-09-03 11:40 UTC +3 |
108.26.193.165 | Attività sconosciuta | 2021-05-13 14:01 GMT +3 |
108.26.193.165 | Attività sconosciuta | 2021-03-25 17:16:55 GMT +1 |
198.12.81.56 | Attività sconosciuta | 2021-10/11 |
198.12.127.199 | Attività sconosciuta | 2021-10/11 |
45.91.93.75 | Attività sconosciuta | 2021-03-18 |
217.25.93.106 | Attività sconosciuta | 2021-03-21 |
45.146.164.193 | Attività sconosciuta | 2020-10-05 |
89.40.10.25 | Attività sconosciuta | 2020-10-10 |
5.45.65.52 | Attività sconosciuta | Timeframe sconosciuto |
79.141.160.43 (URL: izugz.envisting.xyz) | Attività sconosciuta | 2021-05-24 |
Indirizzi Bitcoin: | Timeframe: |
19kcqKevFZhiX7NFLa5wAw4JBjWLcpwp3e | 2021-04-30 |
1CG8RAqNaJCrmEdVLK7mm2mTuuK28dkzCU | 2021-03 |
151Ls8urp6e2D1oXjEQAkvqogSn3TS8pp6 | 2021-02-27 |
Indirizzi email: | Timeframe: |
[email protected] | 2021-04-03 |
[email protected] | 2021-05-25 |
[email protected] | Timeframe sconosciuto |
[email protected] | Timeframe sconosciuto |
[email protected] | Timeframe sconosciuto |
[email protected] | Timeframe sconosciuto |
[email protected] | Timeframe sconosciuto |
[email protected] | Timeframe sconosciuto |
[email protected] | Timeframe sconosciuto |
[email protected] | Timeframe sconosciuto |
[email protected] | Timeframe sconosciuto |
[email protected] | Timeframe sconosciuto |
[email protected] | Timeframe sconosciuto |
L’FBI (inteso ovviamente come forze dell’ordine degli Stati Uniti D’America) potrebbe richiedervi le seguenti informazioni:
A breve termine:
Questioni a lungo termine:
La storia di SoopSocks è quella che, purtroppo, conosciamo bene: un pacchetto PyPI che promette utilità — un proxy SOCKS5 — ma in realtà introduce un impianto malevolo ben orchestrato. Non stia...
Per decenni, l’informatica è stata considerata una scelta professionale stabile e ricca di opportunità. Oggi, però, studenti, università e imprese si trovano davanti a un panorama radicalmente m...
Lunedì scorso, Asahi Group, il più grande produttore giapponese di birra, whisky e bevande analcoliche, ha sospeso temporaneamente le sue operazioni in Giappone a seguito di un attacco informatico c...
Una nuova campagna malevola sta utilizzando Facebook come veicolo per diffondere Datzbro, un malware Android che combina le caratteristiche di un trojan bancario con quelle di uno spyware. L’allarme...
La Community di Red Hot Cyber ha avuto l’opportunità di partecipare a “Oltre lo schermo”, l’importante iniziativa della Polizia Postale dedicata ai giovani del 2 ottobre, con l’obiettivo di...