Uno sguardo a RagnarLocker, tra storia, vittime, TTPs e IoC.

Autore: Davide Santoro
Data Pubblicazione: 09/03/2022

L’FBI è venuto a conoscenza per la prima volta di RagnarLocker nell’Aprile 2020 producendo un report contenente gli indicatori di compromissione conosciuti.

A partire da gennaio 2022 l’FBI ha identificato almeno 52 entità in 10 settori di infrastrutture critiche interessate dal ransomware RagnarLocker, tra le quali i settori critici di produzione, energia, servizi finanziari, settore governativo e informatico.

Il ransomware RagnarLocker lavora come parte di una famiglia di ransomware cambiando frequentemente tecniche di offuscamento per evitare il rilevamento ed eventuali misure di prevenzione.

Scopriamo di cosa si tratta in questo articolo.

Uno sguardo alla cyber gang

RagnarLocker utilizza la tattica oramai consolidata del RaaS della “doppia estorsione”, in cui l’attaccante prima esfiltra i dati sensibili, per poi attivare la crittografia dei file, minacciando di far trapelare i dati rubati se l’organizzazione si rifiuta di pagare il riscatto.

Si tratta di una operazione cyber-criminale rilevata per la prima volta alla fine del 2019, probabilmente proveniente dall’Europa dell’Est.

Il primo grande attacco svolto dalla cyber-gang è stata la compagnia elettrica portoghese Energias de Portugal, alla quale ha richiesto 10 milioni di dollari di riscatto minacciando di far trapelare 10 terabyte di dati.

Possiamo citare altre vittime come la Capcom, una società di videogiochi, e la Campari, una società di bevande italiana, violata a novembre del 2019, alla quale sono stati chiesti 15 milioni di dollari di riscatto.

Dettagli tecnici:

RagnarLocker viene identificato dall’estensione  “.RGNR_<ID>,” dove <ID> è un hash del nome NETBIOS del computer. Gli attori si identificano come “RagnarLocker” e lasciano una nota di riscatto in formato .txt contenente istruzioni su come pagare il riscatto e decifrare i dati.

RagnarLocker utilizza VMProtect, UPX ed algoritmi di compressione personalizzati diffondendosi attraverso una macchina virtuale Windows XP dell’attaccante personalizzata su un obiettivo.

RagnarLocker utilizza l’API di Windows GetLocaleInfoW per identificare l’ubicazione della macchina infettata. Se la vittima viene identificata come “Azerbaijian”, “Armenia”, “Bielorussia”, “Kazakhistan”, “Kirghyzistan”, “Moldavia”, “Tagikistan”, “Russia”, “Turkmenistan”, “Uzbekistan”, “Ucraina” o “Georgia” il processo di infezione viene immediatamente terminato.

Inoltre, RagnarLocker effettua una verifica delle infezioni in corso per prevenire la crittografia multipla dei dati che porterebbe al rischio di corromperli.

RagnarLocker raccoglie il GUID univoco della macchina, il nome del sistema operativo ed il nome utente che sta effettuando il processo. Questi dati vengono inviati attraverso un algoritmo personalizzato di hash in grado di generare un identificatore univoco: <HashedMachineGuid>- <HashedWindowsProductName>-<HashedUser>-<HashedComputerName>- <HashedAllDataTogether>.

RagnarLocker identifica tutti gli hard drive collegati utilizzando alcune API di Windows: CreateFileW, DeviceIoControl, GetLogicalDrives e SetVolumeMountPointA.

A questo punto il ransomware assegna una lettera di unità a tutti i volumi a cui non è stata assegnata una lettera di unità logica rendendoli accessibili, andandoli quindi a cifrare durante la fase finale del processo.

Inoltre, RagnarLocker analizza tutti i processi in corso andando a terminare i servizi comunemente usati per gestire le reti in maniera remota andando a cancellare silenziosamente tutte le copie nascoste dei volumi impedendo così all’utente il recupero dei file cifrati e per farlo utilizza due metodi differenti:

• >vssadmin delete shadows /all /quiet
• >wmic.exe.shadowcopy.delete

Infine, RagnarLocker andrà a cifrare tutti i file di interesse disponibili e, invece di scegliere quali file andare a cifrare, RagnarLocker sceglie quali cartelle non cifrare.

Utilizzando questo approccio il malware potrà funzionare silenziosamente in quanto il computer continuerà a funzionare “normalmente” mentre il ransomware andrà a cifrare i dati (sia quelli con estensioni note che quelli con estensioni sconosciute) contenenti informazioni di valore per la vittima; per fare un esempio pratico se l’unità dell’utente è l’unità C:, il malware non cifrerà i file contenenti nelle seguenti cartelle:

• Windows
• Windows.old
• Mozilla
• Mozilla Firefox
• Tor browser
• Internet Explorer
• $Recycle.Bin
• Program Data
• Google
• Opera
• Opera Software

Inoltre, nella sua interazione con i file, il malware non cifrerà i file con le seguenti estensioni:

• .db
• .sys
• .dll
• .lnk
• .msi
• .drv
• .exe

Indicatori di compromissione:

I seguenti indicatori di compromissione fanno riferimento al malware RagnarLocker:

Informazioni da fornire alle autorità:

L’FBI (inteso ovviamente come forze dell’ordine degli Stati Uniti D’America) potrebbe richiedervi le seguenti informazioni:

A breve termine:

• Copia della nota di riscatto (screenshot, foto e file di testo);
• Eventuali IP dannosi scoperti con timestamp e fusi orari(connessioni insolite RDP, connessioni VPN insolite, attività verso IP malevoli);
• Indirizzi di criptovaluta/importo richiesto;
• Qualunque file malevolo(eseguibili/binari);
• Sommario della timeline degli eventi(inizio dell’osservazione/attività malevola);
• Prove dell’esfiltrazione di dati.

Questioni a lungo termine:

• Breve sommario circa la provenienza degli indicatori di compromissione;
• Rapporto relativo all’incident response;
• Copia di qualsiasi comunicazione avvenuta con gli attori malevoli;
• Immagini forensi ed acquisizioni di memoria;
• Log di host e di rete;
• Qualunque decryptor disponibile;
• Stima dei danni.

Attività di mitigazione raccomandate:

• Avere un backup dei dati critici offline;
• Assicurati che le copie dei dati critici siano sul cloud, su un hard disk esterno o su un dispositivo di memoria, assicurati che queste informazioni non siano accessibili dalla rete compromessa;
• Proteggi i tuoi backup assicurandoti che i dati non siano disponibili per eventuali modifiche o cancellazioni dal sistema;
• Utilizza l’autenticazione a più fattori con password robuste anche per i servizi con accesso remoto
• Mantieni i computer, i dispositivi e le applicazioni aggiornati;
• Monitora le segnalazioni di minacce informatiche relative alla pubblicazione di dati di login per VPN compromesse assicurandoti di cambiare password ed impostazioni;
• Considera la possibilità di aggiungere un banner alle email ricevute dall’esterno della tua organizzazione;
• Disabilita le porte di accesso remoto inutilizzate/Remote Desktop Protocol(RDP) e monitora costantemente i log relativi all’accesso remoto/RDP;
• Controlla attentamente gli account degli utenti con privilegi da amministratore e configura i controlli di accesso con il minimo dei privilegi necessari;
• Implementa la network segmentation ( divisione del network in parti più piccole in cui ogni parte agisce come network a sé stante fornendo ai team di sicurezza un aumento del controllo relativo al traffico presente nei sistemi ).

Davide Santoro

Da sempre patito di sicurezza informatica e geopolitica cerca da sempre di unire queste due passioni, ultimamente ho trovato soddisfazione nell’analisi dei gruppi ransomware, si occupa principalmente di crittografia ed è un sostenitore del software libero.

Aree di competenza: Cyber Threat Intelligence, Geopolitica, Red Team, Osint