Cyberthreat.id - Grup RagnarLocker dikenal karena secara cermat memilih target, menghindari pengguna pribadi, tetapi sebaliknya menargetkan jaringan perusahaan, managed service providers (MSP), dan organisasi pemerintah.  Sekarang, ransomware ini mengadopsi vektor serangan inovatif baru, RagnarLocker membawa operasi mereka ke level yang baru.

Dalam beberapa serangan terdahulu, operator RagnarLocker menggunakan berbagai vektor serangan, seperti mengeksploitasi konfigurasi RDP yang tidak aman, menggunakan spam email dengan lampiran jahat, botnet, unduhan menipu, eksploitasi, iklan jahat, web injection, pembaruan palsu, pengemasan ulang dan penginstal (installer) yang terinfeksi. 

Sekarang, untuk pertama kalinya, geng ransomware itu telah diamati menyalahgunakan mesin virtual selama serangan.

Bulan ini operator ransomware RagnarLocker terlihat menjalankan Oracle VirtualBox untuk menghindari deteksi dan menyembunyikan keberadaan mereka saat menyerang korban di dalam mesin virtual Windows XP.

Oracle VM VirtualBox adalah perangkat lunak virtualisasi, yang dapat digunakan untuk mengeksekusi sistem operasi "tambahan" di dalam sistem operasi "utama". Sebagai contoh, jika seseorang mempunyai sistem operasi MS Windows yang terpasang di komputernya, maka ia dapat pula menjalankan sistem operasi lain yang diinginkan di dalam sistem operasi MS Windows.

RagnarLocker mengunduh dan menginstal Oracle VirtualBox kemudian mengonfigurasinya untuk memberikan akses penuh ke semua drive lokal dan bersama, memungkinkan mesin virtual untuk berinteraksi dengan file yang disimpan di luar penyimpanannya sendiri.

Aplikasi VirtualBox akan mengganti file di sistem lokal dan drive bersama dengan versi terenkripsi mereka.  Modifikasi file ini tidak dapat dideteksi sebagai proses jahat ransomware oleh perangkat lunak antivirus.

Contoh serangan RagnarLocker

April 2020, hacker di balik RagnarLocker menyerang jaringan raksasa energi multinasional Portugis Energias de Portugal (EDP) dan mengklaim telah mencuri 10 TB data perusahaan yang sensitif, menuntut pembayaran 1.580 BTC dan mengancam akan merilis data jika tebusannya adalah  tidak dibayarkan.

Februari 2020, RagnarLocker secara khusus menargetkan perangkat lunak manajemen jarak jauh (RMM) yang biasa digunakan oleh penyedia layanan terkelola (MSP), seperti perangkat lunak ConnectWise dan Kaseya yang populer untuk mencegah serangan ransomware agar tidak terdeteksi dan dihentikan.

Taktik, Teknik, dan Prosedur (TTP) yang dikenal dari RagnarLocker

RagnarLocker pertama kali terlihat pada Desember 2019. Sejak itu, ada pola umum yang terlihat dalam serangan mereka.

Hacker pertama kali akan meretas jaringan. Sebelum mengeksekusi ransomware mereka akan melakukan tugas pengintaian dan pra-penyebaran.  Executable ransomware menambahkan ekstensi spesifik ke file terenkripsi, fitur kunci RSA-2048 tertanam, dan menjatuhkan catatan tebusan khusus.

RagnarLocker menyerang koneksi Windows Remote Desktop Protocol (RDP) untuk mendapatkan pijakan (foothold) pada jaringan yang ditargetkan atau menggunakan eksploitasi terhadap penyedia layanan yang dikelola.

Setelah mendapatkan akses tidak sah ke jaringan yang ditargetkan dan melakukan pengelupasan (exfiltration) data, mereka menggunakan tools administratif Windows asli seperti Windows Group Policy Objects (GPOs) dan Powershell untuk bergerak secara lateral melintasi jaringan ke klien dan server Windows lainnya.

Kemudian, RagnarLocker mengeksekusi Microsoft Installer untuk mengunduh dan menginstal secara diam-diam paket MSI buatan tangan dari server web jarak jauh.

Para ahli sangat menyarankan pengguna dan jaringan untuk selalu melakukan pemindaian komputer menggunakan anti-spyware atau perangkat lunak antivirus yang sah untuk menghilangkan kemungkinan infeksi. Pengguna juga harus memelihara cadangan terbaru secara rutin (up to date backup).