Analiza ransomware Ragnar Locker

Lista usług osadzonych w kodzie Ragnar Locker zostaje odszyfrowana. Obejmuje ona vss, sql, memtas, mepocs, sophos, veeam, backup, pulseway, logme, logmein, connectwise, splashtop, kaseya, vmcompute, Hyper-v, vmms oraz Dfs. Jeśli oprogramowanie stwierdzi, że którakolwiek z tych usług jest aktywna, zakończy jej działanie.

Następnie złośliwy software używa osadzonego klucza publicznego RSA, odszyfrowuje osadzoną notatkę o okupie i usuwa wszelkie kopie w tle hosta za pomocą vssadmin.exe i Wmic.exe.

Nota z żądaniem okupu powiadamia: „…wszystkie Twoje poufne i prywatne informacje zostały zebrane i jeśli zdecydujesz się NIE płacić, prześlemy je do wiadomości publicznej!”. Warto w tym miejscu wspomnieć, że strona wycieku danych Ragnar Locker w sieci Tor zawiera obecnie listę około 70 zgłoszonych ofiar.

Notatka przekazuje żądanie okupu w wysokości 25 bitcoinów, ale sugeruje możliwość negocjacji, jeśli ofiara nawiąże kontakt w ciągu dwóch dni. Równocześnie ostrzega, że wysokość okupu podwoi się, jeżeli kontaktu nie będzie przez 14 dni, a gdy minie 21 dni bez osiągnięcia umowy o płatności, klucz odszyfrowania zostanie zniszczony. Dodatkowo pojawia się informacja, że kwota okupu została ustalona przez atakujących na podstawie „rozmiaru sieci, liczby pracowników, rocznych przychodów ofiary”.

Gdy żądanie okupu jest gotowe, Ragnar Locker rozpoczyna proces szyfrowania. Wyjątki obejmują pliki autoruns.inf, boot.ini, bootfront.bin, bootsect.bak, bootmgr, bootmgr.efi, bootmgfw.efi, desktop.ini, iconcache.db, ntldr, ntuser.dat, ntuser.dat.log, ntuser.ini, thumbs.db; określone procesy i obiekty, takie jak Windows.old, Tor Browser, Internet Explorer, Google, Opera, Opera Software, Mozilla, Mozilla Firefox, $Recycle.bin, ProgramData, All Users oraz pliki z rozszerzeniami .db, .sys, .dll, lnk, .msi, .drv, .exe.

Nazwy innych plików są udostępniane funkcji, która je szyfruje i dodaje sufiks „.ragnar_[zaszyfrowana nazwa komputera]”. Po zakodowaniu Ragnar Locker tworzy proces notepad.exe i wyświetla żądanie okupu na ekranie użytkownika.

Skradzione dane wykorzystywane w procesie podwójnego wymuszenia są stale eksfiltrowane, aż do momentu zaszyfrowania. Loic Castel, główny analityk bezpieczeństwa w Global SOC Cybereason, przekazał SecurityWeek: „Ogólnie rzecz biorąc, agenci ransomware dokonujący podwójnego wymuszenia zawsze wymagają pełnych uprawnień w sieci, którą chcą zaszyfrować. Mają dostęp do wielu maszyn, z których mogą wydobywać dane i wysyłać je za pośrednictwem usług eksfiltracyjnych lub domen zewnętrznych”.

Co do przedziału czasowego operacji, według informacji ujawnionych w alercie FBI eksfiltracja danych miała miejsce prawie sześć tygodni po początkowym dostępie i trwała około dziesięciu dni przed rozpoczęciem procesu szyfrowania.

Ragnar Locker jest skierowany przede wszystkim przeciwko firmom z sektora przemysłu o krytycznym znaczeniu. „Hackerzy stojący za Ragnar Locker często zmieniają techniki zaciemniania, aby uniknąć wykrycia i zapobiegania” – ostrzegło FBI w raporcie z marca 2022 roku.