寰球第二大电脑外存创造商ADATA遭Ragnar Locker讹诈软硬件报复

众所周知,台湾的ADATA是目前全球第二大计算机内存和存储设备制造商。而在2021年6月9日,威刚公司表示,他们的网络信息系统在今年的五月底经历了一次勒索软件攻击,导致该公司的系统被迫下线。威刚公司在确认了五月底的勒索软件攻击活动之后,便立刻下线了所有受影响的系统,并在发现了攻击事件之后立刻将事件详情报告给了有关国际当局,并与其他机构合作共同分析和调查此次的勒索软件攻击事件。

根据威刚公司提供的信息,威刚公司的业务运营已经恢复了正常,受影响的设备也将在不久的将来恢复正常运行。目前,威刚公司没有对外提供有关此次勒索软件攻击事件背后的详细信息,或任何跟勒索要求相关的信息。不过,勒索软件攻击团伙Ragnar Locker在上个星期周末就已经声称此次攻击是他们发动的了。

Ragnar Locker背后的攻击者还对外声称,他们在部署勒索软件Payload之前就已经成功地从威刚公司的网络系统中窃取了1.5TB的敏感数据。到目前为止,Ragnar Locker勒索软件攻击团伙只对外发布了被盗文件和文件夹的部分截图,但他们还继续威胁称,如果威刚公司拒绝支付数据赎金的话,他们将泄露其余敏感数据。根据Ragnar Locker在其暗网网站上发布的截图,他们似乎成功收集到了威刚公司的专有商业信息、机密文件、各类统计图表、财务数据、Gitlab和SVN源代码、法律文档、员工信息、NDAs和工作文件夹等等。

Ragnar Locker勒索软件活动于2019年12月下旬在针对几个目标发动攻击时被人们首次观察到。美国联邦调查局警告各大私营企业称,在2020年4月份多国能源巨头葡萄牙能源公司(EDP)遭受了Ragnar Locker勒索软件攻击之后,Ragnar Locker勒索软件攻击者很可能会将自己的“罪恶之手”伸向其他的大型私营企业。正如研究人员所观察到的那样,Ragnar Locker勒索软件所要求的数据赎金从20万美元到60万美元不等,而在针对葡萄牙能源公司(EDP)的勒索软件攻击活动中,他们甚至要求赎金达到了1580个比特币,当时价值相当于一千多万美元。

当时事件发生之后,Ragnar Locker勒索软件背后的操纵者还在通过“客服窗口”和EDP进行实时聊天,要求他们检查公司网站关于这个泄密威胁的通知,并询问公司是否愿意看到企业私人信息出现在快讯、技术博客和股市网站上。他们还补充道“时不待人”,还警告EDP不要尝试使用除Ragnar Locker以外的解密器来破解文件,否则将有数据破坏和丢失的风险。攻击者还调侃EDP如果在系统加密两天后联系他们,能够享受优惠价格。

但是,他们也要等着,勒索软件的即时聊天也不会全天候在线。Ragnar Locker勒索软件在2019年12月底首次被发现,专门针对托管服务提供商(MSP)的常用软件,来入侵网络窃取数据文件。MSP安全公司Huntress Labs的首席执行官Kyle Hanslovan在2月说到,他的公司发现Ragnar Locker通过MSP软件ConnectWise进行了部署。

经过侦察和部署前阶段,攻击者构建针对性强的勒索软件可执行文件,该可执行文件为加密文件添加了特定的扩展名,具有嵌入式RSA-2048密钥,并加入自定义勒索票据。Ragnar Locker具有多次的赎金记录,赎金记录包括受害者的公司名称、Tor站点的链接以及包含受害者已发布数据的数据泄漏站点,赎金范围从20万美元到大约60万美元不等。SentinelLabs对这种勒索病毒进行分析,负责人Vitali Kremez提及,Ragnar Locker首次启动时将检查配置的Windows语言首选项,如果将它们设置为前苏联国家之一,则会终止该过程并且不对计算机进行加密。

如果受害者通过了此检查,则勒索软件将停止上一节中所述的各种Windows服务。现在已经准备好对计算机进行加密,Ragnar Locker将开始对计算机上的文件进行加密。加密文件时,它将跳过以下文件夹、文件名和扩展名中的文件:kernel32.dllWindowsWindows.oldTor browserInternet ExplorerGoogleOperaOpera SoftwareMozillaMozilla Firefox$Recycle.BinProgramDataAll Usersautorun.infboot.inibootfont.binbootsect.bakbootmgrbootmgr.efibootmgfw.efidesktop.iniiconcache.dbntldrntuser.datntuser.dat.logntuser.inithumbs.db.sys.dll.lnk.msi.drv.exe对于每个加密文件,文件名后都会添加一个预配置的扩展名,如.ragnar22015ABC,“ RAGNAR”文件标记也将添加到每个加密文件的末尾。

最后,将创建一个名为.RGNR [extension] .txt的赎金票据,其中包含有关受害者文件发生了什么情况、赎金金额、比特币支付地址、与攻击者进行通信的TOX聊天ID等信息,如果TOX则用备份的电子邮件地址。目前针对Ragnar Locker勒索软件加密文件尚无法解密。欢迎登录安全客 -有思想的安全新媒体www.anquanke.com/加入QQ交流群1015601496 获取更多最新资讯原文链接:https://www.anquanke.com/post/id/243926。

相关文章