El FBI publicó una nueva alerta FLASH el 7 de marzo de 2022 en la que advertía de que la familia de ransomware RagnarLocker ha afectado al menos a 52 organizaciones de 10 sectores de infraestructuras críticas, entre los que se incluyen los sectores de la fabricación, la energía, los servicios financieros, la administración pública y las tecnologías de la información.
Según el Identity Theft Resource Center, los ataques de ransomware se duplicaron en 2020 y volvieron a duplicarse en 2021. Sin embargo, un aspecto interesante de la familia de ransomware RagnarLocker es que lleva activa desde 2019 y sigue siendo una amenaza, incluso cuando otras familias de ransomware, como Maze, DarkSide, REvil y BlackMatter, han desaparecido o sus autores han sido detenidos.
De hecho, el FBI publicó por primera vez una alerta FLASH sobre la familia de ransomware RagnarLocker el 19 de noviembre de 2020. En dicha alerta, el FBI advirtió de que RagnarLocker tenía como objetivo a proveedores de servicios en la nube, empresas de comunicaciones, de la construcción, de viajes y de software empresarial.
Un enfoque poco habitual de la ofuscación
RagnarLocker presenta varias características poco comunes que cabe destacar. En primer lugar, cierra su proceso si detecta que el equipo se encuentra en alguno de varios países de Europa del Este, entre ellos Rusia y Ucrania, lo que sugiere que el grupo responsable del ataque (o el autor de la amenaza) procede de uno de estos países (al igual que ocurre con tantas otras familias de ransomware rusas).
Lo más singular de RagnarLocker es cómo elude la detección cifrando archivos con precisión milimétrica, en lugar de hacerlo de forma indiscriminada. RagnarLocker inicia este proceso cortando las conexiones de los proveedores de servicios gestionados, creando así un escudo tras el cual puede operar sin ser detectado. A continuación, RagnarLocker elimina silenciosamente las instantáneas de volumen para impedir la recuperación de los archivos cifrados. Por último, RagnarLocker cifra los archivos de forma selectiva, evitando los archivos y carpetas que son críticos para el funcionamiento del sistema, como .exe, .dll, Windows y Firefox (entre otros navegadores); este enfoque evita levantar sospechas hasta que el ataque haya concluido.
Aunque la alerta FLASH no lo menciona, hay otros aspectos de RagnarLocker de los que se ha informado en los medios de comunicación y que también resultan interesantes. Según Bleeping Computer, RagnarLocker ha advertido de que filtrará los datos robados si sus víctimas se ponen en contacto con el FBI. Y según SC Magazine, RagnarLocker ha demostrado que es capaz de vigilar los chats de respuesta a incidentes. Mientras tanto, la alerta FLASH del FBI aconseja a las organizaciones que no paguen rescates a los delincuentes, ya que esto podría animarlos a atacar a otras organizaciones.
Parece que la mejor forma de abordar una situación tan compleja es evitar, ante todo, acabar siendo víctima de un rescate.
Una larga lista de COI
Aunque Rusia llevó a cabo algunas detenciones simbólicas de miembros de familias de ransomware a finales de 2021, es poco probable que este tipo de cooperación continúe, dado el conflicto actual entre Rusia y Ucrania. En cualquier caso, parece que la red se está cerrando en torno a RagnarLocker, ya que algunos de los indicadores de compromiso (IOC) que ha dado a conocer el FBI son bastante reveladores; en concreto, hay varias variantes de una dirección de correo electrónico que contiene el nombre «Alexey Berdin».
Aunque ambas alertas FLASH describen las técnicas de ofuscación de RagnarLocker, resulta interesante observar la cantidad de información que se ha recopilado en los indicadores de compromiso (IOC) entre noviembre de 2020 y marzo de 2022. Además de más de una docena de direcciones de correo electrónico, el FBI también ha publicado tres direcciones de monederos de bitcoin y más de 30 direcciones IP relacionadas con servidores de comando y control (C2) y la exfiltración de datos.
El FBI pide a las organizaciones afectadas que faciliten información adicional sobre indicadores de compromiso (IOC), incluidas direcciones IP maliciosas y archivos ejecutables.
Las infraestructuras críticas en el punto de mira
Para la mayoría de los proveedores de infraestructuras críticas, RagnarLocker es el último episodio de una larga serie de ataques de ransomware, como los sufridos por Colonial Pipeline, la empresa cárnica JBS y Kaseya. Afortunadamente, OPSWAT líder en la protección de infraestructuras críticas.
La protección de las infraestructuras críticas supone un reto debido a la complejidad que entraña la integración entre los sistemas de TI y de tecnología operativa (OT) y los sistemas SCADA heredados, a la dificultad para obtener visibilidad sobre los activos críticos y a la escasez de personal cualificado en ciberseguridad, que es aún más acusada en el sector de las infraestructuras críticas.
RagnarLocker no es la primera, ni la última, ni la única familia de ransomware que ataca a los sectores de infraestructuras críticas, por lo que es imprescindible que estas organizaciones se mantengan alerta ante esta amenaza. Descarga la Guía de protección de infraestructuras críticas OPSWATpara saber cómo preparar tu organización desde hoy mismo.
