Un nuovo ransomware è recentemente apparso nel web, segno del fatto che la battaglia contro i virus informatici stia continuando a vista d’occhio. Quest’ultimo, tra l’altro, sembra che stia talmente pericoloso da aver allertato l’FBI; qual è il suo metodo di approccio con le vittime?
RagnarLocker è il nuovo ransomware che ultimamente sta terrorizzando il web. Viene definito tra gli IOC, acronimo di Indicatori di Compromissione, dal Federal Bureau of Investigation, ossia l’FBI. Questo tipo di virus informatico prende di mira le infrastrutture critiche, proprio come Capcom per esempio.
Il nuovo rapporto al riguardo ha lo scopo di fornire le informazioni necessarie per tenere aggiornati gli utenti del modo con cui, il ransomware, agisce su internet. Apparentemente pare che operi su una base di crittografia di massa, scegliendo attivamente file specifici al fine di evitare di attirare fin da subito l’attenzione durante la sua attività in background. Ma come è stato scoperto?
Le ricerche dell’agenzia federale su RagnarLocker
L’FBI ha scovato RagnarLocker due anni fa. L’agenzia federale aveva pubblicato un primo rapporto di spiegazioni con gli IOC conosciuti al momento, e tra questi erano stati inseriti degli indirizzi IP, delle criptovalute e delle e-mail utilizzate. Sono state suggeriti anche degli enti per le contromisure da adottare. Degli esempi possono essere dell’autenticazione a più fattori, della disattivazione dell’accesso remoto e del controllo degli account utente con i privilegi di amministratore.
A partire da questo anni, però – come riporta il documento dell’FBI -, sono stati colpiti almeno 52 enti in vari settori critici tra cui servizi finanziari, IT, energia e governativi. Le autorità inoltre, hanno stabilito che coloro che operano dietro RagnarLocker toglievano dal loro raggio d’azione alcuni paesi, in particolare la Russia: “Se l’ubicazione della vittima è identificata come azerbaigiano, armeno, bielorusso, kazako, kirghiso, moldavo, tagiko, russo, turkmeno, uzbeko, ucraino o georgiano il processo termina“.
Il gruppo di hacker, per non poter essere rintracciato, ha usato alcune tecniche di offuscamento in modo tale da evitare l’FBI o altre agenzie federali. Infatti pare che utilizzino persino delle istanze virtuali di Windows XP con cui è possibile bypassare i software antivirus facilmente.
Quindi parliamo di un team di pirati informatici molto preparati e che non si fanno scrupoli ad abusare di eventuali vulnerabilità, oltretutto sembra che stiano continuando ad agire indisturbati visto e considerato che non siano stati trovati ancora. Come se non bastasse, non sappiamo nemmeno quanto tempo dovrà passare prima che vengano rilevati.
A tal proposito l’FBI, per tentare di velocizzare le ricerche, ha richiesto alle vittime di RagnarLocker di fornire delle informazioni necessarie utili a capire in che maniera agiscano. Si tratta di dati come una copia della nota di riscatto, eventuali IP, dettagli su connessioni RDP e VPN, indirizzi delle criptovalute, importi richiesti e una cronologia degli eventi e prove di esfiltrazione delle informazioni.
