近日，美國聯(lián)邦調(diào)查局、網(wǎng)絡安全和基礎設施安全局聯(lián)合發(fā)布了一份告警稱，Ragnar Locker勒索組織正大規(guī)模攻擊美國關鍵基礎設施。截至2022年1月，F(xiàn)BI已經(jīng)確定，在受攻擊的10個關鍵基礎設施中，至少有52個關鍵基礎設施被入侵，涉及關鍵制造業(yè)、能源、金融服務、政府和信息技術領域等領域。

資料顯示，RagnarLocker勒索軟件首次出現(xiàn)在2019年12月底，2020年4月被FBI發(fā)現(xiàn)，并一直活躍至今。勒索軟件的代碼較小，在刪除其自定義加殼程序后僅有48KB，并且使用高級編程語言(C/C++)進行編碼。如同所有勒索軟件一樣，該惡意軟件的目標是對可以加密的所有文件進行加密，并提出勒索，要求用戶支付贖金以進行解密。

作為一個老牌勒索家族的變種，RagnarLocker勒索軟件經(jīng)常更改混淆技術以避免檢測和預防。因此，此次FBI和CISA聯(lián)合發(fā)布警告?zhèn)戎赜谔峁┛捎糜跈z測和阻止Ragnar Locker勒索軟件攻擊的入侵指標 (IOC)，包括有關攻擊基礎設施的信息、用于收集贖金的比特幣地址以及該團伙運營商使用的電子郵件地址。

Ragnar Locker勒索組織的終止托管服務提供商 (MSP) 使用的是遠程管理軟件，包括ConnectWise、Kaseya，以此遠程管理那些受感染的企業(yè)。而且這還有利于攻擊者躲避系統(tǒng)檢測，確保程登錄的管理員不會干擾或阻止勒索軟件部署過程。

共享Ragnar Locker攻擊信息

FBI要求所有檢測到Ragnar Locker勒索軟件的企業(yè)和政府部門安全管理員或?qū)＜?，應盡早與本地的FBI Cyber Squad聯(lián)系并共享攻擊的相關信息。此舉將有助于識別該勒索軟件背后的攻擊者真實信息，包括勒索票據(jù)副本、勒索要求、惡意活動時間表、有效負載樣本等。

同時FBI希望被勒索的企事業(yè)單位盡量不要向Ragnar Locker勒索組織支付贖金，因為即便支付了贖金也無法保證數(shù)據(jù)可以解密，或不被泄露。相反，支付贖金將進一步刺激勒索組織發(fā)起更廣泛的攻擊，并吸引更多的攻擊者加入到勒索的隊伍中。

當然，F(xiàn)BI也表示Ragnar Locker確實會給企業(yè)帶來嚴重的傷害，這可能會迫使企業(yè)支付贖金，以此保護股東、客戶和員工的權(quán)益。在告警中FBI還分享了阻止此類攻擊的緩解措施，并強烈督促受害者第一時間向FBI報告該攻擊事件。

參考來源：https://www.bleepingcomputer.com/news/security/fbi-ransomware-gang-breached-52-us-critical-infrastructure-orgs/