Sicurezza Informatica

Ragnar Loader: malware utilizzato da FIN7, FIN8 e altri gruppi ransomware

Ragnar Loader, il nuovo toolkit del ransomware Ragnar Locker, utilizza tecniche avanzate di offuscamento, persistenza e attacchi fileless per infiltrarsi nei sistemi.

da Redazione
scritto da Redazione 0 commenti 3 minuti leggi
Ragnar Loader malware

Un nuovo report ha rivelato come Ragnar Loader, un toolkit malware avanzato, venga ampiamente utilizzato da gruppi cybercriminali e ransomware, tra cui FIN7, FIN8, Ragnar Locker (Monstrous Mantis) e Ruthless Mantis (ex-REvil).

Secondo l’azienda di cybersecurity svizzera PRODAFT, Ragnar Loader svolge un ruolo chiave nel mantenere l’accesso persistente ai sistemi compromessi, consentendo agli attaccanti di rimanere all’interno delle reti bersaglio per lunghi periodi. Il malware è altamente modulare e continuamente aggiornato, rendendolo sempre più difficile da rilevare.

Sebbene sia legato al gruppo Ragnar Locker, non è chiaro se essi lo abbiano sviluppato o se venga noleggiato o venduto ad altri gruppi criminali.

Ragnar Loader: il nuovo strumento avanzato del ransomware Ragnar Locker

Ragnar Loader, noto anche come Sardonic Backdoor, è un sofisticato strumento utilizzato dal gruppo ransomware Monstrous Mantis (Ragnar Locker), attivo dal 2020. Questo loader svolge un ruolo cruciale nel mantenere accessi persistenti ai sistemi compromessi, consentendo operazioni malevole a lungo termine.

Attraverso tecniche avanzate di offuscamento, crittografia e persistenza, Ragnar Loader riesce a evadere i sistemi di sicurezza tradizionali. Il malware utilizza PowerShell per l’esecuzione del payload, impiega algoritmi di crittografia RC4 e Base64 per nascondere le sue operazioni e adotta strategie sofisticate di injection nei processi di sistema, garantendo un controllo furtivo e prolungato sui dispositivi infetti.

Funzionamento tecnico e toolkit del malware

Ragnar Loader viene distribuito sotto forma di archivio contenente vari strumenti malevoli, tra cui:

  • Reverse shell per eseguire comandi remoti.
  • Strumento di escalation dei privilegi per ottenere accesso con diritti elevati.
  • Strumenti per il controllo remoto via RDP.
  • PowerShell scripts offuscati per caricare componenti malevoli senza essere rilevati.

Uno degli elementi chiave è il RunSchedulerTask.ps1, che crea un nodo di comunicazione tra il sistema compromesso e il server di comando e controllo (C2), garantendo un accesso remoto persistente. Un altro script, RunPvt.ps1, permette di bypassare la connessione a internet dei dispositivi isolati, facilitando l’infiltrazione nelle reti aziendali.

Tecniche avanzate di persistenza ed evasione

Ragnar Loader implementa diverse strategie per garantire la persistenza nei sistemi infetti, rendendone la rimozione estremamente complessa.

Annunci
  • Uso di WMI Filters per l’esecuzione fileless: il malware crea eventi WMI che lo attivano automaticamente ad ogni riavvio del sistema.
  • Persistenza tramite Scheduled Tasks: crea attività pianificate che eseguono il loader ogni giorno, conservando il payload nel registro di sistema per evitare il rilevamento.
  • Process injection e token stealing: inietta codice malevolo nel processo WmiPrvSE.exe per eseguirlo in un ambiente fidato, utilizzando token rubati dal processo lsass.exe per elevare i privilegi senza destare sospetti.

Questi metodi rendono il malware difficile da individuare e neutralizzare, permettendogli di operare a lungo senza interruzioni.

Capacità di esecuzione remota e furto di credenziali

Ragnar Loader utilizza una console remota avanzata per interagire con il sistema infetto. Un file Linux ELF chiamato “bc” fornisce una shell interattiva con comandi predefiniti per:

  • Eseguire comandi da remoto.
  • Caricare moduli aggiuntivi (inclusi keylogger e moduli di VNC per il controllo desktop).
  • Scaricare ed esfiltrare file sensibili.
  • Propagarsi lateralmente all’interno della rete sfruttando tecniche di pivoting e proxy.

La sua capacità di eseguire shellcode personalizzati rende Ragnar Loader particolarmente pericoloso, consentendo agli attaccanti di personalizzare le operazioni in tempo reale.

Loader evoluto per attacchi ransomware sofisticati

Ragnar Loader rappresenta un’evoluzione significativa nel panorama del ransomware. Il suo approccio altamente modulare, combinato con tecniche avanzate di offuscamento, persistenza e attacco mirato, lo rende uno strumento estremamente efficace per campagne di ransomware avanzate.

  • Utilizza PowerShell e crittografia RC4/Base64 per eludere i sistemi di difesa.
  • Impiega process injection e manipolazione dei token per ottenere privilegi elevati.
  • Integra strumenti per il controllo remoto, la raccolta di credenziali e il movimento laterale.

Per proteggersi da Ragnar Loader, le aziende devono rafforzare le strategie di difesa, implementando soluzioni di monitoraggio avanzato, segmentazione della rete e threat hunting attivo, al fine di individuare rapidamente le anomalie e prevenire infezioni su larga scala.

Potreste Essere Interessati

Si può anche come

Apple: novità in arrivo con visionOS 3, iOS...

EncryptHub: nuova minaccia malware multi-stadio che colpisce utenti...

Matrice Digitale colpisce ancora: ACN sotto i riflettori,...

SilentCryptoMiner: la nuova minaccia diffusa su YouTube

Sabotaggi aziendali e crimini informatici: due casi eclatanti...

Google rafforza il Vulnerability Reward Program: oltre 12...

Logo Matrice Digitale, sicurezza, informatica, mondo digitale, confronto smartphones

Matrice Digitale è un media INDIPENDENTE sul mondo della tecnologia. Specializzato in Guerra Cibernetica, Cybersecurity e Cybercrime, Matrice Digitale realizza inchieste ed analisi OSINT esclusive.  

Leggi la trasparenza

Iscriviti alla Newsletter

MatriceDigitale.it – Copyright © 2024, Livio Varriale – Registrazione Tribunale di Napoli n° 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies

Facebook Twitter Instagram Youtube Rss Envelope

Developed with love by Giuseppe Ferrara