סיגניה חושפת שיטות פעולה של קבוצת ההאקרים מאחורי RAGNARLOCKER
בבלוג חדש, מספק צוות החוקרים של סיגניה כלים עבור ארגונים על מנת לסייע בזיהוי שיטות וכלי תקיפה של קבוצת RagnarLocker בטרם יוצפן המידע של הארגון בידי ההאקרים
bigstock
חברת הסייבר הישראלית סיגניה (Sygnia) חושפת פרטים חדשים אודות קבוצת תקיפה המכונה RagnarLocker, אשר מתמקדת בתקיפת כופרה של תשתיות קריטיות ושל ארגונים ברחבי העולם. בסיגניה חושפים כלים חדשים שקבוצת ההאקרים משתמשת בהם ומפתחת בעצמה.
בבלוג חדש, מספק צוות החוקרים של סיגניה כלים עבור ארגונים על מנת לסייע בזיהוי שיטות וכלי תקיפה של קבוצת RagnarLocker בטרם יוצפן המידע של הארגון בידי ההאקרים.
צוות סיגניה, בהובלת אורן בידרמן, ראש צוות זיהוי ותגובה לאירועי סייבר בחברה, מסביר כי ההאקרים גונבים מידע רב מהארגון ולאחר מכן מצפינים את תחנות העבודה והשרתים ודורשים כופר על מנת שלא לפרסם את המידע שנגנב ולספק מפתח הצפנה לשרתים שהוצפנו. בבלוג מתואר כיצד ההאקרים עושים זאת וכי חלק מהכלים בהם הם משתמשים פותחו על-ידם.
לדברי בידרמן, "מדובר בקבוצה ותיקה יחסית המוכרת עוד משנת 2020, אך חלק מהכלים והשיטות בהם היא משתמשת טרם נחשפו. בשלב זה, אין ודאות בתעשייה לגבי ארץ המקור ממנה מגיעים חברי הקבוצה, שמעניינת בעיקר בשל העובדה שהיא מתמקדת בחברות השייכות למגזרים של תשתיות קריטיות, כגון: בתי חולים, מפעלים חיוניים וחברות ממשלתיות".
בידרמן מציין כי הקבוצה כתבה קוד המאפשר לה "לשלוף" את יומני האירועים והפעולות ממערכת הלוגים של הארגון ב-Windows, שבדרך כלל משמשים אנשי אבטחה בארגון כדי לדעת מה קרה.
קורבנות בצפון אמריקה ובאירופה
ההאקרים מנצלים את המידע אליו נחשפו על מנת לבנות רשימת מטרות בתוך הארגון, כדי להתפשט אליהן ולפרוס את תוכנת הכופר ברשת הארגון. בנוסף, הם משתמשים בכלי רוסי לניהול הגישה מרחוק שנקרא remote manipulator system כמנגנון פיקוד ובקרה.
הבלוג של סיגניה מספק מידע כיצד לחקור את הממצאים הפורנזיים שהותיר כלי זה על השרת שנפגע. כלי גישה מרחוק אחר, AnyDesk, שימש את ההאקרים להוצאת נתונים מהארגון ואיפשר להאקרים להישאר "מתחת לרדאר" מבלי לעורר חשד כיוון שמדובר בכלי אדמיניסטרטיבי לגיטימי ושכיח.
"ההאקרים יוצרים כלים חדשים כל הזמן על מנת שלא יזהו אותם. השילוב של כלי ניהול לגיטימיים עם כלים מתוצרת עצמית עוזר לקבוצה לחמוק ממערכות ההגנה הפרוסות בארגון. ההאקרים מקפידים למחוק את הכלים שלהם לאחר הרצה ובנוסף מצפינים את המערכות ברשת, כך שלמרות שמדובר בקבוצה ותיקה הם עדיין מצליחים להוציא לפועל תקיפות הגובות מחיר כבד מארגונים", מוסיף בידרמן.
"יש לקבוצה קורבנות רבים בצפון אמריקה - ארה"ב וקנדה - וגם באירופה. בשלב זה לא ידוע על קורבנות בישראל".
בבלוג חדש, מספק צוות החוקרים של סיגניה כלים עבור ארגונים על מנת לסייע בזיהוי שיטות וכלי תקיפה של קבוצת RagnarLocker בטרם יוצפן המידע של הארגון בידי ההאקרים
bigstock
חברת הסייבר הישראלית סיגניה (Sygnia) חושפת פרטים חדשים אודות קבוצת תקיפה המכונה RagnarLocker, אשר מתמקדת בתקיפת כופרה של תשתיות קריטיות ושל ארגונים ברחבי העולם. בסיגניה חושפים כלים חדשים שקבוצת ההאקרים משתמשת בהם ומפתחת בעצמה.
בבלוג חדש, מספק צוות החוקרים של סיגניה כלים עבור ארגונים על מנת לסייע בזיהוי שיטות וכלי תקיפה של קבוצת RagnarLocker בטרם יוצפן המידע של הארגון בידי ההאקרים.
צוות סיגניה, בהובלת אורן בידרמן, ראש צוות זיהוי ותגובה לאירועי סייבר בחברה, מסביר כי ההאקרים גונבים מידע רב מהארגון ולאחר מכן מצפינים את תחנות העבודה והשרתים ודורשים כופר על מנת שלא לפרסם את המידע שנגנב ולספק מפתח הצפנה לשרתים שהוצפנו. בבלוג מתואר כיצד ההאקרים עושים זאת וכי חלק מהכלים בהם הם משתמשים פותחו על-ידם.
לדברי בידרמן, "מדובר בקבוצה ותיקה יחסית המוכרת עוד משנת 2020, אך חלק מהכלים והשיטות בהם היא משתמשת טרם נחשפו. בשלב זה, אין ודאות בתעשייה לגבי ארץ המקור ממנה מגיעים חברי הקבוצה, שמעניינת בעיקר בשל העובדה שהיא מתמקדת בחברות השייכות למגזרים של תשתיות קריטיות, כגון: בתי חולים, מפעלים חיוניים וחברות ממשלתיות".
בידרמן מציין כי הקבוצה כתבה קוד המאפשר לה "לשלוף" את יומני האירועים והפעולות ממערכת הלוגים של הארגון ב-Windows, שבדרך כלל משמשים אנשי אבטחה בארגון כדי לדעת מה קרה.
קורבנות בצפון אמריקה ובאירופה
ההאקרים מנצלים את המידע אליו נחשפו על מנת לבנות רשימת מטרות בתוך הארגון, כדי להתפשט אליהן ולפרוס את תוכנת הכופר ברשת הארגון. בנוסף, הם משתמשים בכלי רוסי לניהול הגישה מרחוק שנקרא remote manipulator system כמנגנון פיקוד ובקרה.
הבלוג של סיגניה מספק מידע כיצד לחקור את הממצאים הפורנזיים שהותיר כלי זה על השרת שנפגע. כלי גישה מרחוק אחר, AnyDesk, שימש את ההאקרים להוצאת נתונים מהארגון ואיפשר להאקרים להישאר "מתחת לרדאר" מבלי לעורר חשד כיוון שמדובר בכלי אדמיניסטרטיבי לגיטימי ושכיח.
"ההאקרים יוצרים כלים חדשים כל הזמן על מנת שלא יזהו אותם. השילוב של כלי ניהול לגיטימיים עם כלים מתוצרת עצמית עוזר לקבוצה לחמוק ממערכות ההגנה הפרוסות בארגון. ההאקרים מקפידים למחוק את הכלים שלהם לאחר הרצה ובנוסף מצפינים את המערכות ברשת, כך שלמרות שמדובר בקבוצה ותיקה הם עדיין מצליחים להוציא לפועל תקיפות הגובות מחיר כבד מארגונים", מוסיף בידרמן.
"יש לקבוצה קורבנות רבים בצפון אמריקה - ארה"ב וקנדה - וגם באירופה. בשלב זה לא ידוע על קורבנות בישראל".
