Последнее обновление 05.01.2023
В понедельник ФБР заявило, что операторы программ-вымогателей Ranzy Locker в этом году взломали по меньшей мере 30 американских компаний из различных секторов промышленности.
«Неизвестные киберпреступники, использующие программу-вымогатель Ranzy Locker, по состоянию на июль 2021 года взломали более 30 американских предприятий», – говорится в сообщении ФБР во флэш-предупреждении TLP: WHITE .
«Среди пострадавших – строительный подсектор важнейшего производственного сектора, академический подсектор государственного сектора, сектор информационных технологий и транспортный сектор».
Флэш-предупреждение было выпущено в координации с CISA и предназначено для предоставления информации, которая поможет специалистам по безопасности обнаруживать такие попытки атак программ-вымогателей и защищаться от них.
Большинство жертв Ranzy Locker, сообщивших об атаках, сообщили ФБР, что операторы взломали их сети, взломав учетные данные протокола удаленного рабочего стола (RDP).
Совсем недавно другие сообщали, что злоумышленники также использовали уязвимые серверы Microsoft Exchange или учетные данные, украденные при фишинговых атаках.
Ребрендинг Ako Ransomware
Оказавшись внутри сети жертвы, операторы Ranzy Locker также украдут незашифрованные документы перед шифрованием систем в корпоративных сетях своих жертв – тактика, используемая большинством других банд вымогателей .
Эти извлеченные файлы, содержащие конфиденциальную информацию, включая информацию о клиентах, данные, позволяющие установить личность (PII) и финансовые записи, используются в качестве рычага, чтобы заставить жертв заплатить выкуп, чтобы вернуть свои файлы и не допустить утечки данных в Интернете.
Когда жертвы посещают платежный сайт группы Tor, они видят сообщение «Заблокировано Ranzy Locker» и экран живого чата для переговоров с злоумышленниками.
В рамках этой «услуги» операторы программ-вымогателей также позволяют своим жертвам бесплатно расшифровать три файла, чтобы доказать, что дешифратор может восстановить их файлы.
Украденные документы жертв, которые не заплатят выкуп, будут опубликованы на сайте утечки данных Ranzy Locker, получившем название Ranzy Leak.
Домен, используемый их сайтом утечки, также использовался в прошлом Ako Ransomware, что стало частью ребрендинга банды с Ako на ThunderX, а затем на Ranzy Locker.
ThunderX – это программа-вымогатель, запущенная в конце августа 2020 года. В течение месяца после запуска Tesorion обнаружила слабые места в своем шифровании, что помогло создать бесплатный дешифратор .
Вскоре после этого киберпреступная группа исправила ошибки и выпустила новую версию своего штамма вымогателей под названием Ranzy Locker.
ФБР также предоставляет технические подробности относительно тактики, используемой в атаках Ranzy Locker, рекомендуемых мер защиты, а также индикаторов компрометации и правил YARA, которые можно использовать для обнаружения и защиты от таких попыток.