Le FBI affirme avoir identifié au moins 52 entités d’infrastructures critiques infectées par le rançongiciel RagnarLocker depuis son arrivée sur la scène de la cybercriminalité il y a près de deux ans.

Les acteurs et variantes de la menace RagnarLocker ont eu un impact sur les organisations opérant dans 10 secteurs classés comme infrastructures critiques, notamment l’énergie, les services financiers, le gouvernement, les technologies de l’information et les opérations de fabrication vitales, a déclaré l’agence américaine d’application de la loi.

Par l’intermédiaire d’un alerte flash (PDF) publié le 7 mars, le FBI a également partagé des indicateurs de compromission (IoC) pour compléter les directives qu’il avait précédemment diffusées après l’émergence de RagnarLocker en avril 2020.

GetLocale

L’agence d’application de la loi a noté comment RagnarLocker utilise l’API Windows GetLocaleInfoW pour identifier l’emplacement d’une machine infectée, afin de stopper les attaques potentielles contre des organisations opérant en Russie, en Ukraine, en Azerbaïdjan, en Arménie, en Biélorussie, au Kazakhstan, au Kirghizistan, au Kirghizistan, en Moldavie et au Tadjikistan. , Turkménistan, Ouzbékistan et Géorgie.

Alors que le malware lui-même limite les attaques dans les pays de la sphère d’influence de la Russie, Tim Erlin, vice-président de la stratégie de la société de logiciels de cybersécurité Tripwire, a déclaré : « c’est une erreur de confondre l’outil utilisé avec l’acteur qui l’exécute.

« Il y a certainement des cas où l’acteur de la menace et l’outil sont étroitement associés, mais sans preuve claire, c’est une hypothèse. »

RagnarLocker privilégie la tactique en vogue de la « double extorsion », dans laquelle, en plus de l’incitation à décrypter les données compromises, les attaquants menacent également de divulguer des informations sensibles si les demandes de rançon ne sont pas satisfaites.

Le FBI a noté qu ‘«au lieu de choisir les fichiers à chiffrer, RagnarLocker choisit les dossiers qu’il ne chiffrera pas. Adopter cette approche permet à l’ordinateur de continuer à fonctionner « normalement » pendant que le logiciel malveillant crypte les fichiers avec des extensions connues et inconnues contenant des données importantes pour la victime ».

Le FBI a émis son conseil habituel selon lequel les organisations de victimes ne devraient pas payer de rançons aux cybercriminels, car il finance et encourage de nouvelles attaques et ne garantit pas la récupération des données.

L’agence a également exhorté les organisations à signaler les incidents de ransomware à leur bureau local du FBI et à renforcer leurs défenses avec l’aide de la Cybersecurity and Infrastructure Security Agency (CISA). Arrêtez les rançongiciels ressource, MS-ISAC Guide conjoint des rançongiciels (PDF) et Ransomware Readiness Assessment (RRA), un module de sa Outil d’évaluation de la cybersécurité (CSET).