近日，美国联邦调查局、网络安全和基础设施安全局联合发布了一份告警称，Ragnar Locker勒索组织正大规模攻击美国关键基础设施。截至2022年1月，FBI已经确定，在受攻击的10个关键基础设施中，至少有52个关键基础设施被入侵，涉及关键制造业、能源、金融服务、政府和信息技术领域等领域。

资料显示，RagnarLocker勒索软件首次出现在2019年12月底，2020年4月被FBI发现，并一直活跃至今。勒索软件的代码较小，在删除其自定义加壳程序后仅有48KB，并且使用高级编程语言（C/C++）进行编码。如同所有勒索软件一样，该恶意软件的目标是对可以加密的所有文件进行加密，并提出勒索，要求用户支付赎金以进行解密。

作为一个老牌勒索家族的变种，RagnarLocker勒索软件经常更改混淆技术以避免检测和预防。因此，此次FBI和CISA联合发布警告侧重于提供可用于检测和阻止Ragnar Locker勒索软件攻击的入侵指标 (IOC)，包括有关攻击基础设施的信息、用于收集赎金的比特币地址以及该团伙运营商使用的电子邮件地址。

Ragnar Locker勒索组织的终止托管服务提供商 (MSP) 使用的是远程管理软件，包括ConnectWise、Kaseya，以此远程管理那些受感染的企业。而且这还有利于攻击者躲避系统检测，确保程登录的管理员不会干扰或阻止勒索软件部署过程。

共享Ragnar Locker攻击信息

FBI要求所有检测到Ragnar Locker勒索软件的企业和政府部门安全管理员或专家，应尽早与本地的FBI Cyber Squad联系并共享攻击的相关信息。此举将有助于识别该勒索软件背后的攻击者真实信息，包括勒索票据副本、勒索要求、恶意活动时间表、有效负载样本等。

同时FBI希望被勒索的企事业单位尽量不要向Ragnar Locker勒索组织支付赎金，因为即便支付了赎金也无法保证数据可以解密，或不被泄露。相反，支付赎金将进一步刺激勒索组织发起更广泛的攻击，并吸引更多的攻击者加入到勒索的队伍中。

当然，FBI也表示Ragnar Locker确实会给企业带来严重的伤害，这可能会迫使企业支付赎金，以此保护股东、客户和员工的权益。在告警中FBI还分享了阻止此类攻击的缓解措施，并强烈督促受害者第一时间向FBI报告该攻击事件。

参考来源：https://www.bleepingcomputer.com/news/security/fbi-ransomware-gang-breached-52-us-critical-infrastructure-orgs/