网络攻击事件激增，浅析Ragnar Locker勒索软件攻击

近年来，网络攻击事件激增，勒索软件活跃在全球各地。2022年3月8日，美国联邦调查局（FBI）、网络安全和基础设施安全局（CISA）联合发布警告称，Ragnar Locker勒索软件正大规模入侵美国关键基础设施。截至2022年1月，FBI已经确定，在受攻击的10个关键基础设施中，至少有52个关键基础设施被入侵，涉及关键制造业、能源、金融服务、政府和信息技术领域等领域。

据悉，Ragnar Locker勒索软件首次出现在2019年12月底，2020年4月被FBI发现，并一直活跃至今。勒索软件的代码较小，在删除其自定义加壳程序后仅有48KB，并且使用高级编程语言（C/C++）进行编码。如同所有勒索软件一样，该恶意软件的目标是对可以加密的所有文件进行加密，并提出勒索，要求用户支付赎金以进行解密。

从美国52个关键基础设施被入侵的事件中，攻击者的攻击特点是什么？为什么勒索软件在重拳打击下仍然如此活跃？为什么关键基础设施容易遭威胁？我们可从中采取哪些措施予以有效防范？网络攻击事件激增的时代，网络安全如何把控势必引起深思。

Ragnar Locker勒索软件是Ragnarok勒索团伙运营的勒索病毒，于2019年12月底首次被发现。作为近两年崛起的勒索软件，至少有44个组织/企业被Ragnar Locker采用“双重勒索”模式进行攻击。据悉，Ragnarok勒索软件团伙已于2021年8月宣布解散，并免费发布解密密钥。但是，2022年，该团伙又浮出水面，而这一次的攻击目标转向美国关键基础设施。

Ragnar Locker勒索软件近年攻击轨迹

1、2020年4月，EDP遭攻击

2020年4月，欧洲能源巨头—葡萄牙跨国能源公司EDP遭攻击，被索要1580的比特币赎金（折合约1090万美元）。幕后黑手声称已经获取了10TB的敏感文件，如果不支付赎金，将公开泄露这些数据。

2、2020年11月，Campari Group遭攻击

2020年11月，意大利白酒巨头—Campari Group遭攻击，2TB未加密文件被盗（包含银行对账单、文件、合约等），勒索团伙并十分嚣张地通过投放脸书广告公然要求支付高达1500万美元的赎金。

3、2020年12月，Capcom遭攻击

2020年12月，日本视频游戏巨头—Capcom遭攻击，并窃取了Capcom存储在日本、加拿大与美国子公司网络上多达1TB的机密情报，涵盖390,000名客户、业务合作伙伴和其他外部方的个人数据。

4、2021年5月，ADATA（威刚）遭攻击

2021年5月，全球第二大电脑内存制造商—台湾的ADATA（威刚）遭攻击，并对外声称，在部署勒索软件Payload之前就已经成功地从威刚公司的网络系统中窃取了1.5TB的敏感数据。此外，该团伙对外发布了被盗文件和文件夹的部分截图，并继续威胁称，如果拒绝支付赎金，将泄露其余敏感数据。

Ragnar Locker勒索软件的攻击特点

1、针对性强

据FBI称，Ragnar Locker自2019年首次被发现以来，于2020年上半年开始频繁攻击大型知名的企业/机构。它具有很强的针对性，每个样本都是针对目标组织量身定制。此外，Ragnar Locker勒索软件的终端管理服务提供商（MSP）使用远程管理软件，包括ConnectWise、Kaseya，对被感染企业进行远程管理，有利于规避系统检测，确保远程登录的管理员不会干扰或阻止勒索软件部署过程。

2、使用虚拟机加密加密计算机

从虚拟机内部加密计算机也是该勒索软件独有的技术。Ragnar Locker使用VMProtect、UPX和自定义打包算法，并部署在目标站点上攻击者的自定义Windows XP虚拟机中。首先检查当前感染，以防止对数据进行多次转换加密，从而可能破坏数据。迭代所有正在运行的服务并终止托管服务提供商通常用于远程管理网络的服务。然后它会尝试以静默方式删除所有卷影副本，从而阻止用户恢复加密文件。最后，所有可用的感兴趣的文件都被加密，不选择要加密的文件，而是选择不加密的文件夹。这允许计算机继续“正常”运行，而恶意软件会加密具有已知和未知扩展名的文件，其中包含对受害者有价值的数据。

3、绕过独联体国家

据FBI报道，Ragnarok勒索软件团伙专注于地理定位。该团伙使用Windows API GetLocaleInfoW来识别受感染计算机的位置。如果受害者的位置被确定为阿塞拜疆、亚美尼亚、白俄罗斯、摩尔达维亚、塔吉克斯坦、俄罗斯、乌克兰或格鲁吉亚等独联体国家，则勒索软件感染的过程将自动终止。因为Ragnar Locker会针对独联体国家，在勒索软件中嵌入一些Unicode形式的自定义语言字符串。根据Windows中选择的语言确定国家，防止特定国家的用户感染勒索软件。当然，并非所有这些国家的人都会在Windows中使用独联体国家的语言，也可能使用英语。如果您选择其他语言作为默认语言，则不可避免地会被感染。

4、采取“双重勒索”策略

Ragnarok勒索团伙于2020年底开始模仿Maze组织，正式在其运营模式中加入“双重勒索”策略，这可以从典型的Ragnar Locker攻击案例中看出。双重勒索软是勒索软件自然进化的结果。勒索软件策略首先使用恶意软件窃取数据，然后使用勒索软件对获取的数据进行复杂的加密。如果受害者没有在规定的期限内支付赎金，他们将选择直接向公众披露被盗数据。这无疑给数据泄露的受害者带来了更大的压力，同时也大大增加了受害者被迫支付赎金的可能性。

FBI要求共享Ragnar Locker攻击信息

FBI正在要求所有检测到Ragnar Locker勒索软件的企业和政府安全管理员或专家，尽快联系当地的FBI Cyber​​​​Squad，并分享有关Ragnar Locker勒索软件攻击的信息。此举将有助于识别勒索软件背后的真正攻击者，包括勒索票据副本、勒索要求、恶意活动时间表、有效负载样本等。

同时，FBI希望被勒索的企业尽量不向Ragnar Locker勒索组织支付赎金，因为即使支付了赎金，也无法保证数据安全防护能够被解密或不泄露。相反，支付赎金将进一步刺激勒索软件群体发动更广泛的攻击，吸引更多的攻击者加入勒索团队。