信息來源:Freebuf
近日��,攻擊者利用Ragnar Locker勒索軟件襲擊了葡萄牙跨國能源公司EDP(Energias de Portugal)��,并且索要1580的比特幣贖金(折合約1090萬美元/990萬歐元)��。對此��,EDP尚未作出回復(fù)��。
EDP集團(tuán)是歐洲能源行業(yè)(天然氣和電力)最大的運營商之一,也是世界第四大風(fēng)能生產(chǎn)商��。該公司在全球四個大洲的19個國家/地區(qū)擁有業(yè)務(wù)��,擁有超過11500名員工��,并為超過1100萬客戶提供能源��。
攻擊者揚言“撕票”10TB的竊密數(shù)據(jù)
在這次攻擊過程中��,Ragnar Locker勒索軟件的幕后黑手聲稱已經(jīng)獲取了公司10TB的敏感數(shù)據(jù)文件��,如果EDP不支付贖金��,那么他們將在公開泄露這些數(shù)據(jù)��。
據(jù)Ragnar的泄密網(wǎng)站說到:
我們已經(jīng)下載了EDP組織服務(wù)器10TB的私密信息��。作為證據(jù)��,我們提供了一些你方企業(yè)網(wǎng)絡(luò)中下載的文件截屏��!現(xiàn)在這個帖子只是臨時��,但是如果你們不支付贖金��,這也會成為永久性的頁面��!我們將在各大知名報社��、媒體��、博客公開這些文件資料��,并且告知你們的客戶��、合作伙伴和競爭對手��,所以這些文件是機(jī)密還是公開完全取決于你們��!
Ragnar 網(wǎng)站的威脅通知
其中��,攻擊者泄露了部分文件來警告EDP��,包含一個edpradmin2.kdb的文件��,這是KeePass密碼管理數(shù)據(jù)庫��。當(dāng)點開這個泄露文件的鏈接��,會直接導(dǎo)出EDP員工的登錄名��、密碼、帳戶��、URLS以及注釋��。
MalwareHunter團(tuán)隊發(fā)現(xiàn)了這次勒索軟件的攻擊樣本��,并找到贖金記錄和Tor付款頁面��,攻擊者在其中詳細(xì)描述了解密過程和勒索金額��。
根據(jù)EDP加密系統(tǒng)上的贖金記錄��,攻擊者能夠竊取有關(guān)賬單��、合同��、交易��、客戶和合作伙伴的機(jī)密信息��。
贖金說明說:“并確保��,如果您不付款��,所有文件和文檔將被公布給所有人查看��,并且我們將通過直接鏈接通知所有客戶和合作伙伴有關(guān)這次泄漏的信息��?�!?
圖片來自推特
所以如果你們不想名聲受損��,最好盡快按要求支付贖金��。
攻擊者在即時窗口中嘲諷EDP
Ragnar Locker勒索軟件背后的操縱者還在通過“客服窗口”和EDP進(jìn)行實時聊天��,要求他們檢查公司網(wǎng)站關(guān)于這個泄密威脅的通知��,并詢問公司是否愿意看到企業(yè)私人信息出現(xiàn)在快訊��、技術(shù)博客和股市網(wǎng)站上��。
他們還補(bǔ)充道“時不待人”��,還警告EDP不要嘗試使用除Ragnar Locker以外的解密器來破解文件��,否則將有數(shù)據(jù)破壞和丟失的風(fēng)險��。
攻擊者還調(diào)侃EDP如果在系統(tǒng)加密兩天后聯(lián)系他們��,能夠享受優(yōu)惠價格��。但是,他們也要等著��,勒索軟件的即時聊天也不會全天候在線��。
截止發(fā)文��,EDP公司對此尚未置評��。
Ragnar Locker加密過程
Ragnar Locker勒索軟件在2019年12月底首次被發(fā)現(xiàn)��,專門針對托管服務(wù)提供商(MSP)的常用軟件��,來入侵網(wǎng)絡(luò)竊取數(shù)據(jù)文件��。
MSP安全公司Huntress Labs的首席執(zhí)行官Kyle Hanslovan在2月說到��,他的公司發(fā)現(xiàn)Ragnar Locker通過MSP軟件ConnectWise進(jìn)行了部署��。
經(jīng)過偵察和部署前階段��,攻擊者構(gòu)建針對性強(qiáng)的勒索軟件可執(zhí)行文件��,該可執(zhí)行文件為加密文件添加了特定的擴(kuò)展名��,具有嵌入式RSA-2048密鑰��,并加入自定義勒索票據(jù)��。
Ragnar Locker具有多次的贖金記錄��,贖金記錄包括受害者的公司名稱��、Tor站點的鏈接以及包含受害者已發(fā)布數(shù)據(jù)的數(shù)據(jù)泄漏站點��,贖金范圍從20萬美元到大約60萬美元不等��。
SentinelLabs對這種勒索病毒進(jìn)行分析��,負(fù)責(zé)人Vitali Kremez提及��,Ragnar Locker首次啟動時將檢查配置的Windows語言首選項��,如果將它們設(shè)置為前蘇聯(lián)國家之一��,則會終止該過程并且不對計算機(jī)進(jìn)行加密��。如果受害者通過了此檢查��,則勒索軟件將停止上一節(jié)中所述的各種Windows服務(wù)��。
現(xiàn)在已經(jīng)準(zhǔn)備好對計算機(jī)進(jìn)行加密��,Ragnar Locker將開始對計算機(jī)上的文件進(jìn)行加密。
加密文件時��,它將跳過以下文件夾��、文件名和擴(kuò)展名中的文件:
kernel32.dll
Windows
Windows.old
Tor browser
Internet Explorer
Google
Opera
Opera Software
Mozilla
Mozilla Firefox
$Recycle.Bin
ProgramData
All Users
autorun.inf
boot.ini
bootfont.bin
bootsect.bak
bootmgr
bootmgr.efi
bootmgfw.efi
desktop.ini
iconcache.db
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
.sys
.dll
.lnk
.msi
.drv
.exe
對于每個加密文件��,文件名后都會添加一個預(yù)配置的擴(kuò)展名��,如.ragnar_22015ABC ��。如下所示��,“ RAGNAR”文件標(biāo)記也將添加到每個加密文件的末尾��。
加密文件標(biāo)記
最后��,將創(chuàng)建一個名為.RGNR_ [extension] .txt的贖金票據(jù)��,其中包含有關(guān)受害者文件發(fā)生了什么情況��、贖金金額��、比特幣支付地址��、與攻擊者進(jìn)行通信的TOX聊天ID等信息��,如果TOX則用備份的電子郵件地址��。
Ragnar Locker勒索票據(jù)
目前針對Ragnar Locker勒索軟件加密文件尚無法解密��,后續(xù)本文將持續(xù)跟進(jìn)��。
