Cục điều tra Liên bang Hòa Kỳ (FBI) mới ban hành cảnh báo (MU-000140-MW) để cảnh báo các đối tác ngành là các công ty tư nhân về sự gia tăng hoạt động của ransomware Ragnar Locker sau một cuộc tấn công xảy ra hồi tháng 4/2020.
Cảnh báo bao gồm những thông báo về sự xâm nhập để phát hiện mối liên quan với nhóm ransomware này.
"Lần đầu tiên FBI quan sát thấy ransomware Ragnar Locker1 là vào tháng 4/2020, khi các tác nhân chưa được biết đến sử dụng ransomware này để mã hóa các tệp tin của một tập đoàn lớn với khoản tiền chuộc là 11 triệu USD và đe dọa tiết lộ 10 TB dữ liệu nhạy cảm của tập đoàn. Kể từ đó, Ragnar Locker1 đã được triển khai với một danh sách nạn nhân ngày càng tăng cao, bao gồm các nhà cung cấp dịch vụ đám mây, các công ty về phần mềm doanh nghiệp, du lịch, xây dựng và truyền thông. FBI đang cung cấp những thông tin chi tiết về ransomware Ragnar Locker để giúp cho việc tìm hiểu mã và xác định hoạt động của chúng".
Nhóm tội phạm đứng sau ransomware Ragnar Locker trước tiên chiếm quyền truy nhập vào mạng của mục tiêu, sau đó do thám các tài nguyên mạng nội bộ và các bản sao lưu nhằm nỗ lực trích xuất dữ liệu nhạy cảm. Sau khi hoàn thành giai đoạn trinh sát, chúng triển khai ransomware và bắt đầu mã hóa dữ liệu của nạn nhân.
Nhóm tội phạm thường xuyên thay đổi các kỹ thuật giải mã để tránh bị phát hiện. Chúng cũng sử dụng Ragnar Locker, UPX và các thuật toán đóng gói tùy chỉnh cho mã độc của mình. Chúng cũng triển khai Ragnar Locker trong máy ảo của Windows XP trên trang web của mục tiêu để tránh bị phát hiện.
Ragnar Locker không mã hóa hệ thống nếu nó được phát hiện là "Azerbaijan", "Armenia", "Belorussian", "Kazakhstan", "Kyrgyz", "Moldavian", "Tajik", "Nga", "Turkmen", "Tiếng Uzbek", "Tiếng Ukraina" hoặc "Georgian".
Báo cáo đưa ra các chi tiết kỹ thuật khác về ransomware và những khuyến nghị để giảm thiểu mối đe dọa bao gồm: thực hiện sao lưu dữ liệu quan trọng ngoại tuyến; Đảm bảo sao lưu dữ liệu quan trọng trên đám mây hoặc trên ổ cứng ngoài hay thiết bị lưu trữ để thông tin không bị truy nhập từ mạng đã bị xâm hại.
Ngoài ra, cần bảo mật việc sao lưu và đảm bảo dữ liệu không bị truy nhập để sửa đổi hoặc xóa khỏi hệ thống; Thường xuyên cài đặt và cập nhật các chương trình phần mềm chống virus và malware trên các tất cả các máy chủ; Chỉ sử dụng những mạng được đảm bảo an toàn và tránh sử dụng các mạng WiFi công cộng; Cân nhắc việc cài đặt và sử dụng VPN; Sử dụng xác thực đa yếu tố với những mật khẩu mạnh; Luôn giữ cho các máy tính, thiết bị và các ứng dụng được vá và cập nhật.
