Ragnar Locker fortsætter tendensen med ransomware rettet mod energisektoren

Ransomware-bander ser ud til at udnytte bekymringer over forstyrrelser i energi- og andre kritiske infrastruktursektorer.

Det nylige angreb på Grækenlands største naturgastransmissionsoperatør DESFA af ransomware-banden Ragnar Locker er det seneste på en voksende liste over hændelser, hvor ransomware-grupper angreb energiselskaber. Denne bande ser ud til at foretrække kritiske infrastruktursektorer, der har målrettet over 50 sådanne organisationer i USA i løbet af de sidste to år.

Ifølge en ny analyse foretaget af forskere fra Cybereason er Ragnar Locker en voksende trussel, der bruger krypteringslag til at skjule instruktioner i sin binære og dræber forskellige processer forbundet med fjernlogin og support.

En voksende liste over ofre for ransomware i energisektoren

Angrebet mod DESFA kom frem i sidste uge, da Ragnar Locker-banden frigav 360 GB data stjålet fra virksomheden via sit datalækagested. Ligesom moderne ransomware-grupper anvender Ragnar Locker dobbelt afpresning, først ved at kryptere filer og løse dekrypteringsnøglen og derefter ved at stjæle følsomme data fra ofre og true med at frigive dem.

DESFA bekræftede, at det var målet for et cyberangreb og sagde, at det ikke havde planer om at forhandle med angriberne. Virksomheden, der driver Grækenlands naturgastransmissions- og distributionssystemer, sagde, at mens nogle af dets it-systemer blev påvirket, blev naturgasforsyningen ikke forstyrret.

Selvom gasdistributionen ikke blev påvirket i dette tilfælde, er ransomware-angrebet i maj 2021 mod Colonial Pipeline, en stor olie- og benzinrørledningsoperatør i USA, et bevis på, at sådanne forstyrrelser kan ske, og de kan have stor økonomisk indvirkning, især på et tidspunkt, hvor Europa står over for stigende energipriser og gasmangel. Colonial Pipeline blev tvunget til at lukke sin rørledning i dagevis, hvilket forårsagede brændstofmangel på tværs af den amerikanske østkyst.

I begyndelsen af august hævdede Hive ransomware-gruppen et angreb mod den kinesiske gas- og energiproducent ENN Group. I juli blev Creos, et selskab, der administrerer elnet og naturgasledninger i Luxembourg, ramt af BlackCat ransomware-banden, og for to uger siden led South Staffordshire Plc, et britisk vandforsyningsselskab, et cyberangreb fra Clop ransomware-banden.

Ragnar Locker synes også at fokusere på organisationer relateret til kritisk infrastruktur. I marts udsendte FBI en advarsel om trusselsadvarselsorganisationerne, der siden 2020 har identificeret mindst 52 enheder på tværs af ti kritiske infrastruktursektorer i USA, der blev ramt af denne ransomware, som omfattede organisationer inden for kritisk fremstilling, energi, finansielle tjenester, regering og informationsteknologi. Siden det nylige DESFA-angreb hævdede Ragnar Locker også et angreb på Portugals nationale luftfartsselskab, TAP Air Portugal.

Sådan krypterer Ragnar Locker systemer

Når den er implementeret på en computer, Ragnar Locker ransomware kontrollerer først, om systemets lokalitet er indstillet til et af 12 lande i Commonwealth of Independent States (CIS) og holder op med at udføre, hvis dette er der et match. Dette er en almindelig teknik, der bruges af ransomware-forfattere fra tidligere USSR-lande for at undgå at tiltrække opmærksomhed fra lokale myndigheder i deres region.

Programmet indsamler derefter systemoplysninger, såsom computernavn, brugernavn, den unikke maskine GUID og opretter en hash-værdi, der vil blive brugt som en identifikator for offermaskinen. Det gentager derefter gennem alle de lokale diskenheder og sletter volumenskyggekopierne for at forhindre nem datagendannelse.

Malwaren begynder derefter at dekryptere visse dele af sin binære, der blev krypteret med RC4-krypteringen. Et afsnit indeholder en liste over processer, der vil blive dræbt, hvis de findes kørende på maskinen. Disse omfatter vss, sql, memtas, mepocs, sophos, veeam, backup, pulseway, logme, logmein, connectwise, splashtop, kaseya, vmcompute, Hyper-v, vmms og Dfs. Nogle af disse processer er forbundet med fjernsupportværktøjer eller sikkerhedskopieringstjenester.

En anden RC4-krypteret sektion indeholder en RSA offentlig nøgle, der vil blive brugt til at kryptere filkrypteringsnøglerne. Ransomware bruger den performant Salsa20 krypteringsalgoritme til at kryptere filer, bortset fra dem på en udelukkelsesliste, der er beregnet til at holde systemet og eventuelle installerede browsere operationelle. De krypterede filer modtager suffikset .ragnar_[hashed computernavn].

Endelig genereres løsesumnoten som en .txt-fil og vises ved at starte en Notesblok-proces. Noten indeholder instruktioner om, hvordan man kontakter angriberne sammen med en advarsel om, at hvis der ikke foretages nogen kontakt inden for to uger, slettes dekrypteringsnøglen, og eventuelle filer, der kopieres fra organisationens computere, frigives eller sælges offentligt.

Ifølge en rapport i denne måned fra det industrielle cybersikkerhedsfirma Dragos blev 125 ransomware-hændelser lanceret af 23 grupper, der påvirkede industrielle organisationer i andet kvartal af 2022. Conti, en produktiv ransomware-bande, der angiveligt lukkede sine operationer i maj, tegnede sig for omkring en fjerdedel af disse angreb, men andre grupper fortsætter klart tendensen. Europa var den mest påvirkede region med 37% af angrebene, efterfulgt af USA med 29% og Asien med 26%.

“I 3. kvartal af 2022 vurderer Dragos med stor sikkerhed, at ransomware vil fortsætte med at forstyrre OT [operationel teknologi] operationer, hvad enten det er gennem integration af OT-drabsprocesser i ransomware-stammer, flade netværk, der gør det muligt for ransomware at sprede sig til OT-miljøer eller gennem forebyggende nedlukninger af OT-miljøer af operatører for at forhindre ransomware i at sprede sig til OT-systemer, ” sagde virksomheden.

Kilde: CSO

Foto: Pexels