Ransomware Ragnar Locker apunta a las herramientas de soporte empresariales MSP

0 0 miércoles, 12 de febrero de 2020

Las diferentes herramientas de proveedores de servicios gestionados (Managed Service Provider - MSP) son utilizados por las compañías para facilitarse la administración de su infraestructura IT (Tecnología de la Información) de manera eficiente y remota. Con la finalidad de mantener todos los sistemas de las computadoras de la red empresarial en óptimas condiciones.

Los primeros indicios del ransomware Ragnar Locker datan a finales de Diciembre del 2019, en donde el análisis forense arrojó que primero los atacantes comprometieron la red, realizaron un exhaustivo reconocimiento, para finalmente desplegar y ejecutar el ransomware.

Las recientes investigaciones demuestran que Ragnar Locker está enfocado en los MSP empresariales con el fin de prevenir que su ataque sea detectado y detenido. El ransomware tiene la capacidad de enumerar todos los servicios de Windows que están siendo ejecutados y detenerlos al comprobar ciertas cadenas.

Las cadenas de los servicios que busca detener son:
  1. vss
  2. sql
  3. memtas
  4. mepocs
  5. sophos
  6. veeam
  7. backup
  8. pulseway
  9. logme
  10. logmein
  11. connectwise
  12. splashtop
  13. kaseya


Se puede observar que Ragnar Locker busca detener los servicios más comunes de seguridad, respaldo (backup), bases de datos, servidores de correo y destacándose dos programas de gestión remota (Remote Management Software - RMM) usados por los MSP, ConnectWise y Kaseya Software. Ambas aplicaciones son utilizadas por un MSP para proveer soporte remoto y administración de software a sus clientes.

El Ransomware inicia comprobando si tiene uno de los primeros lenguajes de los países de la antigua unión soviética (USSR) en la configuración de preferencias de lenguaje, de cumplir esta condición termina el proceso sin encriptar la computadora. En caso contrario, Ragnar Locker comenzará a encriptar los archivos y omitiendo las siguientes carpetas, archivos y extensiones:

  1. kernel32.dll
  2. Windows
  3. Windows.old
  4. Tor browser
  5. Internet Explorer
  6. Google
  7. Opera
  8. Opera Software
  9. Mozilla
  10. Mozilla Firefox
  11. $Recycle.Bin
  12. ProgramData
  13. All Users
  14. autorun.inf
  15. boot.ini
  16. bootfont.bin
  17. bootsect.bak
  18. bootmgr
  19. bootmgr.efi
  20. bootmgfw.efi
  21. desktop.ini
  22. iconcache.db
  23. ntldr
  24. ntuser.dat
  25. ntuser.dat.log
  26. ntuser.ini
  27. thumbs.db
  28. .sys
  29. .dll
  30. .lnk
  31. .msi
  32. .drv
  33. .exe


Todos los archivos encriptados tendrán un extensión preconfigurada como “.ragnar_22015ABC” y agregando una marca al final de cada archivo cifrado.

Marca Ragnar en los Archivos


Luego, para finalizar es creada una nota con el nombre de “.RGNR_[extension].txt”, la cual contiene la amenaza y descripción del secuestro, el monto de rescate en Bitcoin (BTC), una dirección de pago BTC, un identificador de un chat para TOX y una dirección de correo electrónico.

Nota de Rescate

Cabe destacar que actualmente aún no se ha encontrado alguna debilidad en el cifrado del Ransomware Ragnar Locker.

Etiquetas:

COMPARTIR:

Twitter Facebook Google Pinterest

COMENTARIOS

BLOGGER
Nombre

Actualización,5,Actualizaciones,4,AD,1,Adobe,3,Adware,4,AgentTesla,1,android,34,Antivirus,3,Apache,1,APP,1,Apple,17,Apps,14,APT,2,Arkavia Networks,16,asus,1,Ataques,8,Azure,3,Backdoor,5,Bancos,6,Barracuda,1,Bases de Datos,7,BCE,1,Bluetooth,1,bootHole,1,Botnet,8,Botnet. Malware,1,BYOVD,1,Check Point,5,Chile,3,Chips,1,Chrome,3,Ciberataque,9,Cibercrimen,156,Cibercriminales,4,Ciberdelincuencia,17,ciberseguridad,180,Cisco,4,Citrix,6,Cloud,3,Cloudflare,1,CMS,1,ComRAT,1,Comunicaciones,1,conexión,2,Consejos,2,CONVID,1,CookieThief,1,Coronavirus,1,Corporation,1,COVID19,2,CPU,3,Criptomineria,1,Criptomonedas,7,CSP,1,CTF,1,CVE,2,cyber day,2,Cyberwarfare,5,Dark Web,3,Data Breach,3,Data Leak,14,Database,3,DataLeak,2,Datos,2,DDoS,6,Debate,1,Deep Web,5,dispositivos,1,dlink,1,DNS,2,Domains,1,DoS,5,Dropper,1,Ecommerce,3,elasticsearch,1,Email,5,Emotet,3,Empresas,116,endpoint,1,enrutadores,1,Estadisticas,1,estado,1,evento,1,Eventos,6,Evilnum,1,Exchange,5,exploit,9,Exploits,15,Extensiones,2,Extensions,2,F5 Networks,1,Facebook,9,Falla,3,Fileless,1,Fintech,1,FireEye,2,Firewall,1,Firmware,2,Flash,2,Fortinet,1,Framework,1,FreakOut,1,Freta,1,GARMIN,2,Git,1,GitHub,1,Glueball,1,Gmail,3,gobierno,1,GoDaddy,1,google,35,Gootkit,1,GPS,2,GRUB2,1,grupoatp,1,Hacking,85,HALLOWEEN,1,Hardware,7,Hosting,3,HTML5,1,HTTP,2,IBM,1,IGMP,1,Industria,10,Infostealer,3,Instagram,2,Intel,2,Internacional,40,Internet,36,Investigacion,9,IOC,7,ios,6,IoT,4,ipad,1,iphone,1,ISO,1,Javascript,1,Joomla,1,LATAM,1,Latinoamerica,1,lazarus,1,LG,1,Linux,10,LoLbins,1,LSASS,1,macOS,1,Macromedia,1,malicioso,1,Malware,57,Malwares,32,Maze,2,MDM,1,memento,1,Messenger,1,MFA,1,Microsoft,41,Mirai,2,Monero,1,mongoDB,1,MSP,1,MSSQL,1,Mukashi,1,musica,1,Nacional,10,NAS,2,navidad,1,Nefilim,1,Negocios,2,Netgear,1,Netwalker,1,Node.js,1,Nube,1,Openwrt,1,Oracle,3,OS,9,Passwordless,1,Payload,2,Paypal,1,phishing,20,PHP,1,Plugins,1,PoC,2,prevención,1,Protocolos,12,ProxyLogon,1,Python,2,QNAP,1,QR,1,Ragnar_Locker,1,Ransomware,26,RAT,2,RCE,3,RDoS,1,RDP,4,Recomendaciones,21,Redes,31,redes sociales,12,Redhat,1,regalo,1,RegretLocker,1,Remoto,1,REvil,1,Rookit,1,Rootkit,2,Routers,3,RRSS,2,Ryuk,1,Saintbot,1,Salt,1,Salud,3,SAP,1,SeguridadTI,4,Servicios,8,Smartphones,30,SMB,5,Sodinokibi,1,Software,24,solarwinds,1,SonicOS,1,Sonicwall,1,Sophos,1,Spambot,1,Spamhaus,1,spotify,1,Spyware,11,SQL,1,SSL,1,streaming,1,Takedown,1,Teams,1,TeamViewer,1,tendencia,2,TerraMasterOS,1,Tool,1,Tools,2,TOS,1,Tplink,1,Trickbot,1,Trojan,4,Troyano,6,último,1,Update,6,updates,22,USB,1,Videoconferencia,1,VM,1,vmware,1,VNC,1,VPN,6,Vulnerabilidad,42,Vulnerabilidades,81,Web,8,WER,1,WhatsApp,7,Whirlpool,1,wifi,5,Windows,24,Winrar,1,Wordpress,4,Worm,2,Xerox,1,XG,1,Yahoo,1,Zeroclick,1,zeroday,4,Zerologon,1,Zoom,3,Zoombombing,1,
ltr
item
Arkavia Networks News: Ransomware Ragnar Locker apunta a las herramientas de soporte empresariales MSP
Ransomware Ragnar Locker apunta a las herramientas de soporte empresariales MSP
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjy1o-rVP6i1Ys7hurrH8S2Im0x9OE8tKS1tSrO-FOZ5mTf5gBHOncQqsWX7kozKLtfQ0fFtxByPxrqh7DmZaG9Y8cDAzEhstlaMu_AcktDgHwJFvZU_k1WIGvIDFGNNVrsEkw6tH8ZrRA/s640/Ragnar+Locker+Ransomware.jpg
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjy1o-rVP6i1Ys7hurrH8S2Im0x9OE8tKS1tSrO-FOZ5mTf5gBHOncQqsWX7kozKLtfQ0fFtxByPxrqh7DmZaG9Y8cDAzEhstlaMu_AcktDgHwJFvZU_k1WIGvIDFGNNVrsEkw6tH8ZrRA/s72-c/Ragnar+Locker+Ransomware.jpg
Arkavia Networks News
https://www.arkalabs.cl/2020/02/ransomware-ragnar-locker-apunta-las.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2020/02/ransomware-ragnar-locker-apunta-las.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy