近日，美國聯(lián)邦調(diào)查局、網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局聯(lián)合發(fā)布了一份告警稱，Ragnar Locker勒索組織正大規(guī)模攻擊美國關(guān)鍵基礎(chǔ)設(shè)施。截至2022年1月，F(xiàn)BI已經(jīng)確定，在受攻擊的10個關(guān)鍵基礎(chǔ)設(shè)施中，至少有52個關(guān)鍵基礎(chǔ)設(shè)施被入侵，涉及關(guān)鍵制造業(yè)、能源、金融服務(wù)、政府和信息技術(shù)領(lǐng)域等領(lǐng)域。

資料顯示，RagnarLocker勒索軟件首次出現(xiàn)在2019年12月底，2020年4月被FBI發(fā)現(xiàn)，并一直活躍至今。勒索軟件的代碼較小，在刪除其自定義加殼程序后僅有48KB，并且使用高級編程語言(C/C++)進(jìn)行編碼。如同所有勒索軟件一樣，該惡意軟件的目標(biāo)是對可以加密的所有文件進(jìn)行加密，并提出勒索，要求用戶支付贖金以進(jìn)行解密。

作為一個老牌勒索家族的變種，RagnarLocker勒索軟件經(jīng)常更改混淆技術(shù)以避免檢測和預(yù)防。因此，此次FBI和CISA聯(lián)合發(fā)布警告?zhèn)戎赜谔峁┛捎糜跈z測和阻止Ragnar Locker勒索軟件攻擊的入侵指標(biāo) (IOC)，包括有關(guān)攻擊基礎(chǔ)設(shè)施的信息、用于收集贖金的比特幣地址以及該團(tuán)伙運(yùn)營商使用的電子郵件地址。

Ragnar Locker勒索組織的終止托管服務(wù)提供商 (MSP) 使用的是遠(yuǎn)程管理軟件，包括ConnectWise、Kaseya，以此遠(yuǎn)程管理那些受感染的企業(yè)。而且這還有利于攻擊者躲避系統(tǒng)檢測，確保程登錄的管理員不會干擾或阻止勒索軟件部署過程。

共享Ragnar Locker攻擊信息

FBI要求所有檢測到Ragnar Locker勒索軟件的企業(yè)和政府部門安全管理員或?qū)＜遥瑧?yīng)盡早與本地的FBI Cyber Squad聯(lián)系并共享攻擊的相關(guān)信息。此舉將有助于識別該勒索軟件背后的攻擊者真實(shí)信息，包括勒索票據(jù)副本、勒索要求、惡意活動時間表、有效負(fù)載樣本等。

同時FBI希望被勒索的企事業(yè)單位盡量不要向Ragnar Locker勒索組織支付贖金，因?yàn)榧幢阒Ц读粟H金也無法保證數(shù)據(jù)可以解密，或不被泄露。相反，支付贖金將進(jìn)一步刺激勒索組織發(fā)起更廣泛的攻擊，并吸引更多的攻擊者加入到勒索的隊(duì)伍中。

當(dāng)然，F(xiàn)BI也表示Ragnar Locker確實(shí)會給企業(yè)帶來嚴(yán)重的傷害，這可能會迫使企業(yè)支付贖金，以此保護(hù)股東、客戶和員工的權(quán)益。在告警中FBI還分享了阻止此類攻擊的緩解措施，并強(qiáng)烈督促受害者第一時間向FBI報(bào)告該攻擊事件。

參考來源：https://www.bleepingcomputer.com/news/security/fbi-ransomware-gang-breached-52-us-critical-infrastructure-orgs/