Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Ragnar Locker : des attaquants puissants et novateurs

26 mai 2020 - 10:41,
Tribune - Charles Blanc-Rolin
Même si j’avais déjà vu passer ce nom dans certains articles ces derniers mois, il a vraiment attiré mon attention depuis quelques semaines, après avoir ciblé un très grand groupe du secteur de l’énergie et après s’être illustré dans un billet de l’équipe sécurité de Microsoft sur le thème des rançongiciels ciblant le secteur de la santé et les services critiques [1].

D’après le site Malware Wiki, le rançongiciel Ragnar Locker aurait fait son apparition à la fin du mois de décembre 2019 [2].

Qui dit rançongiciel récent, dit également exfiltration de données en plus du chiffrement. Début avril, c’est le géant de l’énergie portugais EDP (Energias de Portugal) qui en faisait les frais [3] avec plus de 10 To de données exfiltrés et une demande de rançon de 1580 Bitcoins, soit environ 11 millions de Dollars au moment des faits !Pour prouver que l’exfiltration a bien était réalisée, au-delà de captures d’écran des dossiers et fichiers dérobés, les attaquants derrière Ragnar mettent à disposition quelques fichiers sur leur site accessible depuis le réseau Tor et notamment un fichier contenant de nombreuses informations sur les employés ou encore une procédure de gestion de crise du groupe :

Ou encore l’export au format HTML d’une base de données Keepass d’un administrateur, contenant près de 3750 mots de passe, dont la majorité est assez « faible » et certains toujours d’actualité :

Les attaquants ont également publié des informations relatives à d’autres victimes ainsi que des captures d’écran montrant qu’ils se « promènent » dans leurs SI…

#PLACEÀLINNOVATION

Dans un récent article publié par les chercheurs de SophosLabs [4], nous pouvons découvrir une méthode novatrice employée par ces attaquants adeptes de Cobalt Strike, pour contourner les solutions Endpoint. Après avoir exploité un serveur RDP exposé sur Internet et pris la main sur les contrôleurs de domaines Active Directory, ils utilisent des GPO pour déployer de façon silencieuse un package MSI de 122 Mo jouant le rôle de Payload. Il s’appuie alors sur la virtualisation, en déployant sur les machines victimes une vielle version de VirtualBox, ainsi qu’une appliance Windows XP dans le répertoire « C:\Program Files (x86)\VirtualAppliances » afin d’exécuter sa charge malveillante (vrun.exe), le rançongiciel, placé à la racine du lecteur C:\, puis s’immisce sur la machine hôte via un partage réseau créé à cet effet.
À noter également que dans son processus de déploiement, comme d’autres rançongiciels modernes, il tente également d’arrêter un maximum de services (antivirus, sauvegardes, bases de données…) et de supprimer les sauvegardes Windows de type Shadow Copy. Pour plus d’informations, sur ce rançongiciel, je vous recommande également de jeter un œil au blog d’Andrew Ivanov [5].

C’est vraiment dommage que les auteurs de Ragnar Locker ne se lancent pas dans le développement d’un DPI ou d’une GAM, ils auraient apparemment beaucoup de choses à apporter...


[1] https://www.microsoft.com/security/blog/2020/04/28/ransomware-groups-continue-to-target-healthcare-critical-services-heres-how-to-reduce-risk/

[2] https://malware.wikia.org/wiki/Ragnar_Locker

[3] https://www.bleepingcomputer.com/news/security/ragnarlocker-ransomware-hits-edp-energy-giant-asks-for-10m/

[4] https://news.sophos.com/en-us/2020/05/21/ragnar-locker-ransomware-deploys-virtual-machine-to-dodge-security/

[5] https://id-ransomware.blogspot.com/2020/02/ragnarlocker-ransomware.html 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Le CHU de Reims certifié ISO 27001 et HDS : un engagement fort pour la cybersécurité au service des patients

Le CHU de Reims certifié ISO 27001 et HDS : un engagement fort pour la cybersécurité au service des patients

13 oct. 2025 - 19:56,

Communiqué

- CHU de Reims

Le Centre hospitalier universitaire de Reims franchit une étape majeure dans sa stratégie de sécurisation des données de santé en obtenant la double certification ISO 27001 :2022 et Hébergeur de données en santé (HDS) V2. Ces certifications attestent de la conformité du CHU aux normes les plus exige...

Illustration Intelligence artificielle en santé : entre progrès technologique et éthique, où en est-on ?

Intelligence artificielle en santé : entre progrès technologique et éthique, où en est-on ?

13 oct. 2025 - 10:01,

Actualité

- Rédaction, DSIH

À l’occasion de la Fête de la science, l’Espace Mendès France de Poitiers a récemment accueilli une conférence passionnante consacrée à l’intelligence artificielle (IA) en santé. Intitulée « Intelligence artificielle en santé, entre progrès technologique et éthique : où en est-on ? », cette rencontr...

Illustration Fraudes à la e-CPS et à ProSantéConnect : l’alerte de l’ANS rappelle l’importance de la vigilance numérique

Fraudes à la e-CPS et à ProSantéConnect : l’alerte de l’ANS rappelle l’importance de la vigilance numérique

13 oct. 2025 - 09:46,

Actualité

- Rédaction, DSIH

L’Agence du Numérique en Santé (ANS) a récemment signalé plusieurs tentatives de fraude visant l’application e-CPS et le portail ProSantéConnect (PSC). Ces attaques, fondées sur des techniques d’ingénierie sociale, consistent à se faire passer pour le « service client CPS » afin d’obtenir des codes ...

Illustration Quand les AirTag sont au centre des débats : les tartuferies d’une direction d’école

Quand les AirTag sont au centre des débats : les tartuferies d’une direction d’école

13 oct. 2025 - 09:10,

Tribune

-
Cédric Cartau

Étonnant que l’info n’ait pas plus fait le buzz, mais on apprend que, dans le Var, un papa avait placé dans le sac de son fils en primaire un traceur GPS pour une sortie de classe.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.