افزایش فعالیت باج‌افزار Ragnar Locker

FBI با انتشار هشداری از افزایش حملاتی خبر داده که در جریان آنها مهاجمان اقدام به توزیع باج‌افزار Ragnar Locker در شبکه قربانی می‌کنند.

Ragnar Locker از جمله باج‌افزارهایی است که مهاجمان آن، اهداف خود را به‌صورت خاص انتخاب کرده و پس از سرقت فایل‌ها و داده‌های بااهمیت اقدام به رمزگذاری و از دسترس خارج کردن فایل‌ها می‌کنند. در ادامه، قربانی تهدید می‌شود که در صورت عدم پرداخت مبلغ اخاذی‌شده، اطلاعات سرقت شده به صورت عمومی منتشر و افشا خواهد شد.

نخستین نسخه از Ragnar Locker در سال 2019 شناسایی شد. در ماه آوریل سال میلادی جاری، گردانندگان Ragnar Locker پس از سرقت و رمزگذاری فایل‌های یک شرکت بزرگ مبلغ 11 میلیون دلار را در ازای عدم افشای 10 ترابایت از داده‌های حساس آن شرکت اخاذی کردند. به گفته FBI پس از آن اتفاق بخش سایبری این نهاد ایالات متحده فعالیت‌های این بدافزار مخرب را به‌شدت زیر نظر داشته است.

در هشدار FBI اشاره شده که از آن زمان تا کنون فهرست اهداف و قربانیان Ragnar Locker به‌طور مستمر در حال افزایش بوده و حملات آنها شرکت‌های فعال در حوزه‌هایی همچون خدمات رایانش ابری، ارتباطات، ساخت‌وساز، سیر و سفر و نرم‌افزارهای سازمانی را شامل می‌شده است.

به گزارش شرکت مهندسی شبکه گستر، حملات گردانندگان Ragnar Locker محدود به ایالات متحده نبوده و مواردی از هدف قرار گرفتن شرکت‌های بزرگ در برخی کشورهای دیگر نیز گزارش شده است.

به نظر می‌رسد گردانندگان Ragnar Locker آنقدر انتشار اطلاعات رسوا کننده را ادامه می‌دهند تا قربانی ناچار به پرداخت مبلغ اخاذی شده شود.

بر طبق هشدار FBI گردانندگان Ragnar Locker از انواع تکنیک‌های مبهم‌سازی (Obfuscation) به‌منظور بی اثر کردن ابزارهای امنیتی بهره می‌گیرند.

همچنین با راه‌اندازی یک ماشین مجازی با سیستم عامل Windows XP بر روی دستگاه قربانی فایل‌های مخرب خود را از دید محصولات امنیتی مخفی نگاه می‌دارد. در تابستان امسال نیز شرکت امنیتی سوفوس خبر داد که گردانندگان باج‌افزار Maze از تکنیک اجرای ماشین مجازی در حملات خود بهره می‌برند.

از جمله باج‌افزارهای مطرحی که علاوه بر رمزگذاری، داده‌های قربانی را سرقت می‌کنند می‌توان به Ako،وAvaddon،وClop،وCryLock،وDoppelPaymer،وMaze،وMountLocker،وNemty،وNephilim،وNetwalker،وPysa/Mespinoza،وRevil،وSekhmet،وSnatch و Snake اشاره کرد.

لازم به ذکر است در یک سال اخیر تعداد حملات هدفمند باج‌افزاری به شرکت‌های بزرگ در ایران نیز افزایشی چشمگیر داشته است. متأسفانه تبعات اجرای موفق چنین حملاتی برای سازمان های قربانی بسیار پرهزینه و بعضاً جبران ناپذیر است.

موارد زیر از جمله نکاتی است که با رعایت آنها می‌توان سازمان را از گزند این تهدیدات مخرب ایمن نگاه داشت:

• استفاده از رمزهای عبور پیچیده، هک نشده و غیرتکراری برای حساب‌های کاربری محلی (Local) تحت دامنه (Domain) سیستم عامل و پایگاه‌های داده، به ویژه حساب‌های با سطح دسترسی  Administrator/SysAdmin
• غیرفعال کردن پودمان RDP یا حداقل تغییر درگاه پیش‌فرض آن
• محدود کردن سطح دسترسی کاربران
• اطمینان از نصب بودن اصلاحیه‌های امنیتی بر روی تمامی دستگاه‌ها
• استفاده از ضدویروس قدرتمند و به‌روز با قابلیت نفوذیاب
• استفاده از دیواره آتش در درگاه شبکه

هشدار FBI در لینک زیر قابل دریافت و مطالعه است:

https://beta.documentcloud.org/documents/20413525-fbi-flash-indicators-of-compromise-ragnar-locker-ransomware-11192020-bc