In circolazione c’è un brutto ransomware che opera su base di crittografia di massa, che prende di mira le infrastrutture critiche e che a quanto pare è lo stesso che lo scorso anno ha dato filo da torcere a Capcom. Si tratta di Ragnar Locker. A rendere nota la cosa è stato l’FBI, mediante la pubblicazione di un report estremamente dettagliato con cui ha segnalato i cosiddetti IOC, ovvero gli indicatori di compromissione, associati agli attacchi.
Ragnar Locker: da gennaio 2022 ha colpito 52 enti in vari settori
Ragnar Locker è stato scoperto per la prima volta ad aprile del 2020 e successivamente la Federal Bureau of Investigation ha pubblicato un primo rapporto con IOC conosciuti al momento. Nel nuovo report, quello diffuso nelle scorse ore, tali indicatori sono stati aggiornati, includendo indirizzi IP, indirizzi delle criptovalute ed email usate.
Da gennaio 2022 sono stati colpiti almeno 52 enti in vari settori, tra cui servizi finanziari, IT, energia e governativi, evitando però alcuni Paesi, in special modo la Russia. Inoltre, per aggirare il rilevamento vengono spesso cambiate le tecniche di offuscamento. Quella maggiormente in voga consiste nella distribuzione di un’istanza virtuale di Windows XP che va bypassare gli antivirus.
Sono state altresì suggerite le contromisure che gli enti dovrebbero adottare per contrastare il ransomware, come l’autenticazione a due fattori, la disabilitazione dell’accesso remoto inutilizzato e il controllo degli account utente con privilegi di amministrazione.
A coloro che, invece, sono stati già colpiti, l’FBI ha chiesto di fornire alcune informazioni che potrebbero essere utili, come una cronologia degli eventi che si sono verificati, prove di sottrazione dei dati, la copia della nota di riscatto, indirizzi IP, dettagli riguardo connessioni RDP e VPN, indirizzi delle criptovalute e importi richiesti.