Actualités

Ragnar Locker : le FBI fait le point sécuritaire sur les entités et infrastructures impactés par le ransomware, depuis Avril 2020 !

Au minimum depuis Avril 2020 et concernant uniquement les Etats-Unis, le ransomware Ragnar Locker (qui a impacté, plus largement, le monde – terrestre – entier), selon les signalements remontés officiellement, a concerné 52 entreprises ou entités soit 10 secteurs ou domaines d’activité, des services financiers, numériques, de production en passant par les institutions gouvernementales et assimilées. Le FBI délivre le détail de ces révélations dans un rapport.

 

 

En cette occasion sécuritaire, il est rappelé le modus operandi observé ; condensé de ces éléments dans ce domaine :

 

  • Identifiant : .RGNR_<ID> (hash nom-NetBIOS) ;

  • API Windows GetLocaleInfoW (processus interrompu pour l’Azerbaïdjan, l’Arménie, la Biélo-Russie, le Kazakhstan, le Kyrgyzstan, la Moldavie, le Tajikistan, la Russie, l’Ouzbékistan, le Turkménistan, l’Ukraine, la Géorgie),

  • Exploitation de cette API pour la rattacher à un volume-disque (en vue d’un chiffrement-donnée “de manière silencieuse”, le moment voulu, lors de l’étape finale de Ragnar Locker),

  • Fichiers-dossiers sous la coupe du chiffrement : Windows, Windows.old, Mozilla, Mozilla Firefox, Tor Browser, IE, $Recycle.Bin, Program Data, Google, Opera, Opera Software,

  • Extensions de fichiers-dossiers sous la coupe du chiffrement (si “interaction“) : DB, SYS, DLL, LNK, MSI, DRV, EXE.

 

 

Rien que pour le mois de Janvier 2022, le FBI délivre les fameux indicateurs de compromissions ou IOCs :

 

 

  • Adresses-IPs,

 

  • Adresses Bitcoin,

 

  • Adresses-mails.

 

 

Même si cela est vivement déconseillé, rappelle le FBI, le paiement de la rançon peut se faire en parallèle de collecte d’informations à transmettre au Bureau américain, notamment via le regroupement de ressources ou d’éléments suivants, pour les victimes de ransomware :

 

  • Une copie de la note de rançon (capture-écran, fichier texte…),
  • Toute IP suspecte ou malicieuse (time-stamps, time-zones, RDP-connexions…),
  • Fichiers binaires ou exécutables malicieux ou suspects,
  • Un bref résumé des faits (avec date + activité),
  • Preuve de l’ex-filtration de données,
  • Les actions ou réactions face à l’incident sécuritaire (rapports),
  • Une copie des conversations avec les cyber-attaquants,
  • Les logs-réseaux et hôtes,
  • N’importe quel déchiffreur disponible”.

 

Enfin, il est rappelé les règles de bienveillance sécuritaire ou technique, pour les administrateurs de système et / ou réseau comme la sauvegarde récurrente de données en mode hors-ligne, la vérification que les données sensibles ou importantes sont stockées dans un disque dur ou “dans le Cloud“, l’activation de la double-authentification, la désactivation du RDP (y compris les logs) quand cela n’est pas nécessaire sur un poste (suivant la fonction salariale), la multiplication d’audits sur les comptes-utilisateur avec privilèges élevés et la nécessité de segmentariser les “implémentations-réseau”… A veiller !

 

 

 

 

Source : FBI – 7 Mars 2022 – Ragnar Locker : Indicateurs de compromission (depuis Avril 2020) + recommandations.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2022 - v1.11.6