Ragnar

Ragnar ransomware is niet alleen ontworpen om gegevens te versleutelen, maar ook om geïnstalleerde programma's (zoals ConnectWise en Kaseya) te beëindigen, die vaak worden gebruikt door beheerde serviceproviders en verschillende Windows-services.

Deze ransomware hernoemt versleutelde bestanden door er een extensie aan toe te voegen die "ragnar" en een reeks willekeurige tekens bevat. Het zal bijvoorbeeld een bestand met de naam "Cybercrimeinfo.jpg" hernoemen naar "Cybercrimeinfo.jpg.ragnar_0DE48AAB", enzovoort. Het creëert ook een losgeldbericht met een tekstbestand, waarvan de naam dezelfde reeks willekeurige tekens bevat als de opgegeven extensie. In dit geval zou het losgeldbericht "RGNR_0DE48AAB.txt" heten .

Ragnar Locker wordt vaak geleverd via MSP-tools zoals ConnectWise, van waaruit de aanvallers een zeer gericht ransomware aanval op specifieke bestanden uitvoeren. Deze techniek wordt gebruikt voor zeer gevaarlijke ransomware campagnes, vaak onder de naam Sodinokibi .

Bij dit type aanval infiltreren de operators van de ransomware in eerste instantie organisaties via onbeveiligde of slecht beveiligde RDP-verbindingen en gebruikten vervolgens beide tools om Powershell-scripts naar alle toegankelijke eindpunten te pushen. De scripts hebben vervolgens een payload gedownload van Pastebin, die de ransomware uitvoert en de eindpunten versleutelt. In sommige gevallen is de payload een uitvoerbaar bestand dat wordt uitgevoerd als onderdeel van een bestand gebaseerde aanval, in andere gevallen zijn aanvullende scripts gedownload als onderdeel van een volledig bestandsloze aanval.