La Federal Bureau of Investigation ha pubblicato un rapporto in cui descrive in dettaglio i cosiddetti "Indicatori di Compromissione" (IOC) associati agli attacchi di RagnarLocker, un ransomware che prende di mira infrastrutture critiche e che lo scorso anno prese di mira anche Capcom.

Questo nuovo rapporto ha principalmente lo scopo di fornire informazioni sul modo in cui agisce il ransomware che opera su base di crittografia di massa, scegliendo attivamente file specifici da non crittografare al fine di evitare di attirare immediatamente l'attenzione durante la sua attività in background.

L'FBI ha scoperto RagnarLocker per la prima volta nell'aprile 2020 pubblicando, successivamente, un primo rapporto con gli IOC conosciuti al momento. Nel nuovo rapporto, questi indicatori sono stati aggiornati, includendo indirizzi IP, indirizzi delle criptovalute e e-mail utilizzate, e sono state suggerite agli enti le contromisure da adottare tra cui l'autenticazione a più fattori, la disabilitazione dell'accesso remoto inutilizzato e il controllo degli account utente con privilegi di amministratore.

A partire da gennaio 2022, si legge nel documento dell'FBI, sono stati colpiti almeno 52 enti in vari settori critici, tra cui servizi finanziari, IT, energia e governativi. L'FBI, inoltre, ha stabilito che coloro che operano dietro RagnarLocker evitavano alcuni Paesi, in particolare la Russia.

Se l'ubicazione della vittima è identificata come azerbaigiano, armeno, bielorusso, kazako, kirghiso, moldavo, tagiko, russo, turkmeno, uzbeko, ucraino o georgiano il processo termina.

Per evitare il rilevamento, inoltre, il gruppo cambia frequentemente le tecniche di offuscamento. Una di queste è rappresentata dalla distribuzione del ransomware in un'istanza virtuale ridotta di Windows XP che consente di bypassare i software antivirus.

L'FBI, infine, ha anche richiesto a coloro che sono stati colpiti da RagnarLocker di fornire alcune informazioni che potrebbero essere utili tra cui una copia della nota di riscatto, eventuali IP e dettagli su connessioni RDP e VPN, indirizzi delle criptovalute, importi richiesti e una cronologia degli eventi e prove di esfiltrazione dei dati.