Análisis de malware

Malware Ragnar Locker: qué es, cómo funciona y cómo prevenirlo | Destacado malware

25 de junio de por Pedro Tavares

La popularidad de las amenazas de ransomware no parece estar disminuyendo. En cambio, se están implementando amenazas de ransomware cada vez más sofisticadas. Ragnar Locker es un nuevo malware de cifrado de datos de este estilo.

Ragnar Locker es un ransomware que afecta a dispositivos que ejecutan sistemas operativos Microsoft Windows. Inicialmente se observó a finales de diciembre de como parte de una serie de ataques contra redes comprometidas.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

En general, este malware se implementa manualmente después de un compromiso inicial, un reconocimiento de la red y tareas previamente implementadas en la red. Esto demuestra que se trata de una operación más compleja que la mayoría de las campañas de propagación de ransomware.

Antes de iniciar el ransomware Ragnar Locker, los atacantes inyectan un módulo capaz de recopilar datos confidenciales de las máquinas infectadas y cargarlos en sus servidores. A continuación, los actores de amenazas detrás del malware notifican a la víctima que los archivos se harán públicos si no se paga el rescate.

Modus operandi

El siguiente diagrama muestra cómo los delincuentes están comprometiendo infraestructuras y organizaciones utilizando este malware de cifrado de datos. [HAGA CLIC EN LAS IMÁGENES PARA AMPLIAR]

1: Diagrama de alto nivel de la cadena de infección de Ragnar Locker.

Como se destaca en el diagrama anterior, hay un grupo de pasos ejecutados por los operadores de Ragnar Locker cada vez que una organización o infraestructura se ve afectada. Al profundizar en los detalles, los atacantes primero comprometen redes, infraestructuras y organizaciones utilizando vulnerabilidades encontradas o incluso mediante ingeniería social como ataques de phishing, phishing y ataques BEC .

Durante el proceso de compromiso, se realizan reconocimiento, tareas previas a la implementación y filtración de datos antes de ejecutar el ransomware (1: etiquetas 1 y 2). Cuando se completa el proceso de exfiltración de datos, se realiza manualmente una implementación de ransomware (etiqueta 3).

Tenga en cuenta que cada muestra de malware es única, con la nota de rescate específica codificada dentro del malware. El nombre del grupo afectado, los enlaces a la billetera bitcoin y los enlaces a un blog de la web oscura están incrustados dentro del binario como se presenta a continuación.

2: Partes de las notas de rescate de los ataques recientes.

Cuando se inicia el ransomware, enumera los procesos en ejecución y se detiene si algunos de estos servicios contienen cadenas específicas, como por ejemplo:

Tabla 1: Procesos finalizados por ransomware.

El ransomware de esta línea a menudo desactiva algunos servicios como una forma de eludir las protecciones de seguridad y también los sistemas de bases de datos y copias de seguridad para aumentar el impacto del ataque. Además, los servicios de base de datos y correo se detienen para que sus datos puedan cifrarse durante el proceso de infección.

Una de las particularidades que destaca Ragnar Locker es que se dirige específicamente al software de gestión remota que suelen utilizar los proveedores de servicios gestionados (MSP), como el popular software ConnectWise y Kaseya.

Este malware de cifrado de datos infecta computadoras según su configuración de idioma. Cuando se inicia por primera vez, Ragnar Locker comprueba las preferencias de idioma configuradas de Windows. Este malware finaliza el proceso si la configuración está configurada como uno de los países de la antigua URSS.

3: Ragnar Locker se detiene cuando se ejecuta en países de la antigua URSS.

Después de eso, Ragnar Locker comenzará el proceso de cifrado. Al cifrar archivos, omitirá archivos en las siguientes carpetas, nombres de archivos y extensiones.

Uno de los hallazgos interesantes es la carpeta “ Navegador Tor ”.

4: Carpetas no cifradas por Ragnar Locker.

Este detalle revela que este malware también está afectando a los profesionales de la seguridad y a todos los que utilizan este navegador web específico para navegar en la web oscura. La lista completa se puede observar en la siguiente tabla.

Tabla 2: Lista de carpetas, archivos y extensiones no cifradas por Ragnar Locker.

Ragnar Locker agrega la extensión codificada » .ragnar_* » adjunta al final del nombre del archivo y » * » se reemplaza por una identificación única generada. Todos los archivos disponibles dentro de las unidades físicas se cifran y, al final, se abre el proceso notepad.exe y se muestra el archivo de nota de rescate creado en el directorio del sistema de la víctima, como se muestra en el siguiente diagrama.

5: Proceso de cifrado de Ragnar Locker.

6 : Nota de rescate creada en la carpeta «Documentos públicos».

En detalle, se elimina un archivo de nota de rescate en cada carpeta, sin incluir las observadas en la Tabla 2.

El archivo de nota de rescate comienza con el prefijo » RGNR_* «, y la identificación también se usa y se adjunta a los archivos cifrados.

7: Archivo de nota de rescate y partes de la “clave secreta de Ragnar” redactadas.

Para cifrar los archivos, el malware obtiene y decodifica la nota de rescate de las secciones .keys , la clave pública y algunas configuraciones.

8: Secciones .keys del archivo PE con la nota de rescate, la clave pública de cifrado y otras configuraciones codificadas.

Esta sección está decodificada en tiempo de ejecución y se puede observar a continuación.

9 : Clave pública, configuraciones y nota de rescate decodificadas durante la ejecución del malware.

Cuando se cifra un archivo, el marcador de archivo » RAGNAR » también se agrega al final de cada archivo cifrado.

10: marcador » RAGNAR » añadido al final del archivo cifrado.

Este ransomware no está equipado con un mecanismo para detectar si la computadora ya ha sido comprometida. Una particularidad es que si el malware llega más de una vez al mismo dispositivo, cifrará el dispositivo una y otra vez. La 11 presenta este detalle, donde Ragnar Locker cifró los archivos tres veces.

11: El mismo dispositivo comprometido tres veces por Ragnar Locker.

Ragnar Locker y otros ransomwares mediáticos utilizan varias técnicas y comandos para dañar las instantáneas de Windows. Con este proceso implementado, reparar posibles ataques de cifrado de datos es más difícil.

vssadmin eliminar sombras/todo/silencioeliminación de copia oculta de wmic.exe

Tabla 3: Comando utilizado por Ragnar Locker para dañar instantáneas.

Blog de Ragnar, página de rescate y chat

Los archivos e imágenes de prueba de concepto (PoC) se publican en el blog del grupo en la web oscura (1 – etiqueta 4) después de un acuerdo.

12: Blog de Ragnar Locker disponible en la web oscura.

13: Una filtración de un grupo específico comprometido por los operadores de Ragnar Locker a mediados de abril de.

Dentro del malware hay un enlace codificado a una página con una cuenta regresiva y el proceso para pagar el rescate.

14: Página de cuenta regresiva con la billetera bitcoin y el botón de chat.

15: Chat utilizado para realizar comunicaciones entre los operadores de ransomware y las víctimas.

Medidas de prevención

Vivimos en una era en la que el ransomware sigue creciendo y el número de ataques ha aumentado, especialmente durante la pandemia de COVID-19. No existe una solución mágica para prevenir ataques de esta naturaleza, sin embargo, existe un conjunto de buenas prácticas que se pueden aplicar para minimizar el impacto de un ataque de cifrado de datos.

Se debe introducir formación en materia de seguridad para mejorar la educación cibernética. La descarga de cualquier cosa de fuentes que no sean de confianza debería considerarse una tarea peligrosa.

Fuentes

  1. Ataque de ransomware del grupo EDP desde cero , Segurança Informática