Ransomware Ragnar Locker: una task force internazionale sequestra leak site e pagina di negoziazione Tor

Ransomware Ragnar Locker: task force internazionale sequestra i siti

Il leak site utilizzato per la pubblicazione dei dati rubati e la pagina, sempre su Tor, utilizzata per le negoziazioni: questi i colpi inferti alla cyber gang del ransomware Ragnar Locker. Visitando queste pagine viene visualizzato questo annuncio

L’avviso che viene visualizzato visitando le pagine Tor di Ragnar Locker
L’avviso che viene visualizzato visitando le pagine Tor di Ragnar Locker

Il messaggio, in più lingue, elenca le varie autorità che hanno partecipato alla task force contro Ragnar Locker e sono molteplici: Italia, Spagna, Francia, Giappone, Repubblica Ceca, Lettonia, Germania ma anche l’FBI ecc… Vi si legge:

“Il sequesto del sito fa parte di una operazione coordinata tra più forze dell’ordine contro il gruppo Ragnar Locker”.


Ragnar Locker: cosa sappiamo?

Ragnar Locker, noto anche come Ragnar_Locker o RagnarLocker, è una operazione ransomware di lungo corso. Ha iniziato la propria attività nel 2019, iniziando fin da subito a colpire le aziende piuttosto che a prendere di mira gli utenti finali. Come altre operazioni ransomware, Ragnar Locker cerca di ottenere l’accesso alle reti aziendali, quindi di diffondersi lateralmente negli altri dispositivi collegati in rete in cerca di dati da rubare. La criptazione avviene solo dopo l’esfiltrazione dei dati dalla rete bersaglio. Insomma lo schema è quello classico della doppia estorsione.

Gli esperti comunque non considerano Ragnar Locker un RaaS, visto che recluta attivamente affiliati esterni. Al contrario opera più da servizio semi-privato: nessuna promozione della propria attività quanto collaborazione diretta con alcuni, selezionati, pentester esterni, il cui compito è quello di ottenere l’accesso alla rete. Il resto del lavoro, una volta fatta irruzione in rete, tornava nelle mani dei componenti del gruppo Ragnar Locker.

La nota di riscatto del ransomware Ragnar Locker
La nota di riscatto del ransomware Ragnar Locker

L’ammontare del riscatto dipende dalla vittima: si va dai 200.000 ai 600.000 dollari per ricevere il decryptor e scongiurare la pubblicazione dei dati.

Qualche info tecnica

Una delle prime analisi compiute su questo ransomware risale dal 2020, ad opera dell’esperto di ransomware Vitali Kremez. La prima operazione compiuta da Ragnar Locker è quella di elencare tutti i servizi Windows in esecuzione: se qualcuno di questi contiene determinate stringhe, procede ad arrestare il servizio. Queste stringhe sono:

  • vss
  • sql
  • memtas
  • mepocs
  • sophos
  • veeam
  • backup
  • pulseway
  • logme
  • logmein
  • connectwise
  • splashtop
  • kaseya

E’, questa, una tecnica comunemente utilizzata nel mondo dei ransomware per disabilitare i servizi di sicurezza e i software di backup così come per arrestare database e mail server e poter procedere a criptare anche quei dati.

Rispetto agli altri ransomware però Ragnar Locker ha una caratteistica che lo contraddistingue. Pende di mira, in dettaglio, software di gestione remota utilizzato comunemente dagli MSP. Non a caso mira a software come ConnectWyse e Kaseya.

Per ogni file criptato, il ransomware aggiunge al nome file l’estensione .ragnar_22015ABC .

Proteggersi dai ransomware: step basilari

Premettendo che la sicurezza informatica al 100% non esiste e che gli strumenti, le soluzioni e la postura difensiva variano da azienda ad azienda, da rete a rete, i punti sottostanti sono il minimo indispensabile per raggiungere un livello accettabile di sicurezza informatica.

  • Predisponi un piano di backup:
    è fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. I backup stessi andranno testati regolarmente, per verificare che i dati siano integri. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. E’ fondamentale isolare dalla rete i backup critici per evitare che, in caso di attacco ransomware, finiscano criptati anche i backup. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI.
  • Mantieni sempre aggiornato il sistema operativo, i software e gli applicativi in uso:
    le vulnerabilità sono le porte di accesso che consentono agli attaccanti di accedere alle reti. Verifica che questi software siano sempre aggiornati all’ultima versione disponibile ed installa le patch consigliate dal vendor. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità.
  • Scegli una solida soluzione antivirus e mantienila sempre aggiornata:
    sempre più soluzioni antivirus si sono dotate di strumenti specifici per il contrasto agli attacchi ransomware. Scopri di più sulla funzionalità antiransomware di Quick Heal / Seqrite, tecnologia brevettata negli Stati Uniti.
  • Adotta l’approccio zero trust:
    applica il principio del “privilegio minimo” per tutti gli utenti: imposta cioè, utente per utente, solo le permissioni che gli sono effettivamente necessarie per svolgere le proprie mansioni. Fai si che ogni utente possa accedere soltanto alle informazioni che gli sono indispensabili.
    Per approfondire > Approccio di cybersecurity Zero Trust: perché, come e quanto è importante per le aziende con forza lavoro remota
  • Evita di scaricare file o cliccare su link contenuti nelle email:
    spesso l’accesso alle reti da parte degli attaccanti non avviene tramite sofisticate tecniche di attacco, ma anzi l’attaccante fa breccia nel punto più debole della catena della cyber sicurezza: l’utente. E’ fondamentale non fare click su link né scaricare allegati contenuti in email inaspettate, sospette, improvvise. Infine non abilitare mai le macro contenute nei documenti circolanti via email, a meno che non ci sia l’assoluta certezza della legittimità della comunicazione.
    Per Approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
  • Forma i dipendenti, i collaboratori e chiunque acceda alla rete:
    come detto, l’anello debole della catena di cyber sicurezza e sicurezza dei dati è l’utente. Forma dipendenti e collaboratori, rendili partecipi dei protocolli di sicurezza e consapevoli e sensibili rispetto ai rischi, almeno quelli più diffusi. Stabilisci un protocollo di reazione in caso di incidente informatico, così che tutti sappiano cosa fare in caso dovesse verificarsi un attacco ransomware.
  • Non esporre mai direttamente in internet le connessioni Remote Desktop Protocol. Se proprio hai necessità di usare l’RDP, fallo sempre tramite una VPN.
  • Implementa un modello di sicurezza stratificato (multi livello)
    nella scelta di un approccio stratificato alla sicurezza, consigliamo di valutare attentamente:
    > sicurezza delle reti e dei server;
    > gestione degli endpoint;
    > gestione dei dispositivi mobile.
    Per approfondire > Implementa un modello di sicurezza stratificato con Seqrite!
  • Implementa sistemi di protezione preventiva:
    come l’Intrusion Prevention Sistem (IPS) e il Web Application Firewall. Saranno utili protezioni perimetrali, se posti a difesa dei servizi esposti su Internet.
  • Adotta un SOC – Security Operation Center:
    un SOC è un vero e proprio centro operativo dedicato alla sicurezza informatica il cui scopo, nel complesso, è monitorare costantemente la rete aziendale in cerca di attività anomale o sospette.
    Per approfondire > SOC – Security Operation Center: che cosa, perché, come