Ransomware Ranzy Locker zainfekował co najmniej 30 organizacji w USA

FBI ogłosiło w poniedziałek, że ransomware Ranzy Locker zainfekował w tym roku co najmniej 30 amerykańskich firm z różnych branż. „Nieznani cyberprzestępcy korzystający z ransomware Ranzy Locker narazili na szwank ponad 30 amerykańskich firm w lipcu 2021 r. Ofiary obejmują podsektor budowlany, krytyczny sektor produkcyjny, podsektor akademicki, sektor obiektów rządowych, sektor technologii informatycznych i sektor transportu ” – czytamy w ostrzeżeniu.

Flash alert został wydany we współpracy z CISA i ma na celu dostarczenie informacji specjalistom ds. bezpieczeństwa, aby pomóc w wykrywaniu i zapobieganiu atakom ransomware. Większość ofiar Ranzy Locker, które zgłosiły włamania, powiedziała FBI, że napastnicy włamali się do ich sieci, wykorzystując dane uwierzytelniające RDP.

Inni ujawnili niedawno, że osoby atakujące wykorzystywały dane uwierzytelniające uzyskane w operacjach phishingowych lub ukierunkowanych na niezabezpieczone serwery Microsoft Exchange.

Operatorzy Ranzy Locker kradną niezaszyfrowane dokumenty w sieci ofiary, zanim zaszyfrują systemy w sieciach korporacyjnych ofiar, co jest metodą wykorzystywaną przez większość innych gangów ransomware. Te eksfiltrowane pliki, które zawierają poufne informacje, takie jak informacje o klientach, dane osobowe (PII) i dane finansowe, są wykorzystywane jako dźwignia zmuszająca ofiary do zapłacenia okupu w celu odzyskania dostępu do ich plików i zapobiegania wycieku online.

W kilku przypadkach gang stosował podwójny model wymuszeń, grożąc ofiarom wyciekiem skradzionych danych, jeśli nie zapłacą okupu. Wskaźniki kompromisu (IOCs) związane z operacjami Ranzy Locker i regułami Yara do identyfikacji zagrożenia są również zawarte w ostrzeżeniu.

Ofiary otrzymają powiadomienie „Zablokowane przez Ranzy Locker” i ekran czatu na żywo, aby negocjować z cyberprzestępcami, gdy odwiedzą witrynę płatności Tor. Operatorzy ransomware oferują również swoim ofiarom odszyfrowanie trzech plików za darmo w ramach tej „usługi”, aby zademonstrować, że deszyfrator może przywrócić ich pliki.

Wdrażaj regularne kopie zapasowe wszystkich danych, które mają być przechowywane jako kopie chronione hasłem -offline, wdrażaj segmentację sieci, aby żaden komputer w sieci nie był dostępny z żadnego innego komputera, instaluj i regularnie aktualizuj oprogramowanie antywirusowe na wszystkich hostach i włączaj -wykrywanie czasu i instalowanie aktualizacji/poprawek do systemów operacyjnych, oprogramowania układowego sprzętu, gdy tylko aktualizacje/łatki staną się dostępne, to tylko niektóre z zalecanych środków zaradczych, które zostały uwzględnione w alercie.