美國FBI發布RagnarLocker勒索軟體威脅指標,請加強偵測與防護
RagnarLocker在過去一年間攻擊了大量美國關鍵基礎設施業者,FBI警告駭客會以保留Windows系統檔案及瀏覽器功能等手法隱蔽加密檔案行為,以躲避系統偵測。
美國聯邦調查局(FBI)本周警告,已發現至少有52家橫跨十大關鍵基礎設施領域的組織,遭到RagnarLocker勒索軟體入侵,涵蓋製造、能源、金融服務、政府及資訊科技等領域,FBI除了提供該勒索軟體的入侵指標(IOCs)外,也督促受害者向主管機關舉報,以及提供相關細節以利追蹤駭客,以避免其它組織受害。
RagnarLocker最早出現於2019年,駭客會先滲透受害者系統,接著辨識受害裝置的位置,倘若位於白俄羅斯、哈薩克、俄羅斯或烏克蘭等國家,便會停止攻擊。
此外,與其選擇欲加密的檔案,RagnarLocker過濾了不加密的檔案,主要是保留Windows系統檔案及各種瀏覽器功能,以讓駭客在執行加密檔案的過程中,電腦仍可正常執行而不被發現。
RagnarLocker曾於2020年攻擊全球第四大貨櫃船運業者CMA CGM,臺灣的威剛也在去年成為RagnarLocker的受害者。
FBI表示,雖然他們並不鼓勵受害者支付贖金,但也能理解受害者會評估各種可能的選擇來保護它們的股東、員工或客戶,不管是否支付贖金,都應該向執法機關舉報。
影響平台
Windows平台
建議措施
- 針對附件提供之威脅指標(indicators of compromise, IOCs)落實部署防護機制。
- 加強電子郵件安全防護與惡意程式檢測。
- 加強網路設備之威脅偵測與連線行為監控。
- 為強化勒索軟體資安防護,建議強化下列安控措施:
- 部署多因子身分鑑別機制,並強化密碼管理。
- 落實資料、系統映像檔及組態設定之備份作業,且備份檔應離線保存並定期測試。
- 即時更新系統軟體版本與修補漏洞。
- 停用不必要之遠端服務與通訊埠,並落實監控遠端存取日誌。
- 定期稽核特權帳號與存取規則,落實最小存取權限原則。
- 如有發現異常應立即進行通報。
FBI的CU-000163-MW Flash Alert警報
資料來源 iThome
瀏覽數:
分享