Ragnar Locker si Egregor, doua familii de ransomware importante

In ultimii cativa ani, atacurile pe scara larga de tip ransomware – in care infractorii folosesc malware pentru a cripta datele victimelor si le foloseasc pentru rascumparare – au fost inlocuite cu atacuri mai precise, impotriva anumitor companii si industrii. In aceste campanii cu tinte directe si clare, atacatorii nu doar ameninta ca vor cripta datele, ci si ca vor publica informatii confidentiale online. Aceasta tendinta a fost observata de cercetatorii Kaspersky intr-o analiza recenta a doua familii de ransomware importante: Ragnar Locker si Egregor.

Atacurile Ransomware, in general, sunt considerate drept unul dintre cele mai grave tipuri de amenintari cibernetice cu care se confrunta companiile. Ele nu numai ca pot perturba operatiunile comerciale critice, dar pot duce si la pierderi financiare masive si, in unele cazuri, chiar la faliment, din cauza amenzilor si proceselor rezultate in urma incalcarii legilor si reglementarilor. De exemplu, se estimeaza ca atacurile WannaCry au cauzat pierderi financiare de peste 4 miliarde de dolari. Cu toate acestea, campaniile mai noi de ransomware isi modifica modul de operare: ameninta sa faca publice informatiile furate de la companii.

Ragnar Locker si Egregor sunt doua familii de ransomware bine cunoscute care practica aceasta noua metoda de extorcare.

Ragnar Locker a fost descoperit pentru prima data in 2019, dar nu a devenit cunoscut decat in ​​prima jumatate a anului 2020, cand a fost observat atacand organizatii mari. Atacurile sunt foarte precise, cu fiecare esantion special adaptat victimei pe care o are in vizor, iar celor care refuza sa plateasca li se publica datele confidentiale in sectiunea „Zidul rusinii” de pe site-ul cu date furate. Daca victima discuta cu atacatorii si apoi refuza sa plateasca, aceste discutii sunt si ele publicate. Tintele principale sunt companiile din Statele Unite din diferite industrii. In iulie, Ragnar Locker a declarat ca s-a alaturat cartelului de ransomware Maze, ceea ce inseamna ca cele doua parti vor impartasi informatiile furate si vor colabora. Maze a devenit una dintre cele mai notorii familii de ransomware in 2020.

Egregor este mult mai nou decat Ragnar Locker – a fost descoperit pentru prima data in septembrie. Cu toate acestea, foloseste multe dintre aceleasi tactici si are similitudini la nivel de cod cu cel de la Maze. Programul malware este de obicei incarcat printr-o bresa in retea, dupa ce datele tintei au fost obtinute, acordandu-se victimei 72 de ore pentru a plati rascumpararea inainte ca informatiile furate sa devina publice. Daca victimele refuza sa plateasca, atacatorii publica numele victimelor si link-uri pentru a descarca datele confidentiale ale companiei pe site-ul lor.

Raza de actiune a lui Egregor este mult mai extinsa decat cea a lui Ragnar Locker. Pe lista tintelor sale au fost observate companii din America de Nord, Europa si parti din regiunea APAC.

„Ceea ce vedem acum este cresterea ransomware 2.0. Prin asta vreau sa spun ca atacurile devin extrem de precise, iar accentul nu se pune doar pe criptare; mai nou, procesul de extorcare se bazeaza pe publicarea in mediul online a datelor confidentiale. Acest lucru pune in pericol nu doar reputatia companiilor, ci deschide si anumite procese in cazul in care datele publicate incalca reglementari precum HIPAA sau GDPR. Sunt in joc lucruri mult mai importante decat pierderile financiare,”

comenteaza Dmitry Bestuzhev, sef al echipei de cercetare si analiza globala din America Latina (GReAT).

„Aceasta inseamna ca organizatiile trebuie sa se gandeasca la amenintarea cu ransomware ca la ceva mult mai periculos decat un tip de malware. De fapt, de multe ori, ransomware-ul este doar etapa finala a infiltrarii in retea. Pana cand ransomware-ul este implementat efectiv, atacatorul a efectuat deja o recunoastere a retelei, a identificat datele confidentiale si le-a exfiltrat. Este important ca organizatiile sa puna in aplicare intreaga gama de bune practici de securitate cibernetica. Identificarea atacului intr-un stadiu incipient, inainte ca atacatorii sa atinga obiectivul final, poate economisi o multime de bani”, adauga Fedor Sinitsyn, expert in securitate la Kaspersky.

comenteaza Dmitry Bestuzhev, sef al echipei de cercetare si analiza globala din America Latina (GReAT).

Pentru a va pastra in siguranta compania impotriva acestor tipuri de atacuri ransomware, expertii Kaspersky recomanda urmatoarele:

1. Nu expuneti serviciile desktop la distanta (cum ar fi RDP) retelelor publice decat daca este absolut necesar si folositi intotdeauna parole puternice pentru acestea.
2. Pastrati intotdeauna software-ul actualizat pe toate dispozitivele pe care le utilizati. Pentru a impiedica ransomware-ul sa se foloseasca de vulnerabilitati, utilizati instrumente care pot detecta automat vulnerabilitatile si descarca si instala patch-uri.
3. Instalati rapid patch-urile disponibile pentru solutiile VPN comerciale care ofera acces angajatilor la distanta si actioneaza ca gateway-uri in reteaua dumneavoastra.
4. Tratati cu precautie atasamentele de e-mail sau mesajele de la persoane pe care nu le cunoasteti. Daca aveti dubii, nu le deschideti.
5. Folositi solutii precum Kaspersky Endpoint Detection and Response si Kaspersky Managed Detection and Response pentru a identifica si opri atacul intr-un stadiu incipient, inainte ca atacatorii sa isi atinga obiectivul.
6. Concentrati-va strategia de securitate pe detectarea miscarilor laterale si a exfiltrarii datelor pe Internet. Acordati o atentie speciala traficului de iesire din sistem al datelor pentru a detecta conexiunile criminalilor cibernetici. Faceti backup al datelor in mod regulat. Asigurati-va ca il puteti accesa rapid in caz de urgenta, atunci cand este absolut necesar.
7. Pentru a proteja mediul corporativ, educati-va angajatii cu privire la problemele de securitate cibernetica. Sesiunile de training dedicate va pot ajuta, cum ar fi cele furnizate de Kaspersky Automated Security Awareness Platform. Un curs gratuit despre cum sa va protejati de atacurile ransomware este disponibil aici.
8. Pentru dispozitivele personale, utilizati o solutie de securitate fiabila, cum ar fi Kaspersky Security Cloud, care va protejeaza impotriva malware-ului de criptare a fisierelor si previne modificarile facute de aplicatiile rau intentionate.