I cacciatori di minacce hanno Luce luce su un “sofisticato ed evolutivo di strumenti di malware” chiamato Caricatore Ragnar Questo è usato da vari gruppi di criminalità informatica e ransomware come Ragnar Locker (alias Montistus Mantis), Fin7, Fin8 e Ruthless Mantis (ex rivil).
“Ragnar Loader svolge un ruolo chiave nel mantenere l’accesso a sistemi compromessi, aiutando gli aggressori a rimanere in reti per operazioni a lungo termine”, ha dichiarato la società svizzera di sicurezza informatica Prodoft in una dichiarazione condivisa con le notizie di Hacker.
“Mentre è collegato al gruppo Ragnar Locker, non è chiaro se lo possiedono o semplicemente lo affittano agli altri. Quello che sappiamo è che i suoi sviluppatori aggiungono costantemente nuove funzionalità, rendendolo più modulare e più difficile da rilevare.”
Il caricatore Ragnar, anche indicato come sardonico, period Primo documentato di Bitdefender nell’agosto 2021 in relazione a un attacco senza successo condotto da Fin8 rivolto a un istituto finanziario senza nome situato negli Stati Uniti che si cube sia stato utilizzato dal 2020.
Quindi, nel luglio 2023, di proprietà di Broadcom Symantec rivelato L’uso da parte di Fin8 di una versione aggiornata del backdoor per fornire il ransomware BlackCat ormai defunto.
La funzionalità di base del caricatore Ragnar è la sua capacità di stabilire punti di pressione a lungo termine all’interno degli ambienti mirati, mentre impiegano un arsenale di tecniche per eludere il rilevamento e garantire la resilienza operativa.
“Il malware utilizza i payload basati su PowerShell per l’esecuzione, incorpora forti metodi di crittografia e codifica (inclusi RC4 e Base64) per nascondere le sue operazioni e impiega sofisticate strategie di iniezione di processi per stabilire e mantenere un controllo furtivo sui sistemi compromessi”, ha osservato Prodoft.
“Queste caratteristiche migliorano collettivamente la sua capacità di eludere il rilevamento e persistere all’interno di ambienti mirati.”
Il malware viene offerto agli affiliati sotto forma di un pacchetto di file di archivio contenente più componenti per facilitare la shell inversa, l’escalation del privilegio locale e l’accesso remoto desktop. È inoltre progettato per stabilire comunicazioni con l’attore di minaccia, consentendo loro di controllare a distanza il sistema infetto attraverso un pannello di comando e controllo (C2).
Tipicamente eseguito sui sistemi vittime utilizzando PowerShell, Ragnar Loader integra una serie di tecniche anti-analisi per resistere al rilevamento e oscuro la logica del flusso di controllo.
Inoltre, presenta la possibilità di condurre varie operazioni backdoor eseguendo plugin DLL e code Shell, nonché la lettura ed esfiltrazione del contenuto di file arbitrari. Per consentire il movimento laterale all’interno di una rete, utilizza un altro file di pivot basato su PowerShell.
Un altro componente critico è un file ELF eseguibile Linux denominato BC progettato per facilitare le connessioni distant, consentendo all’avversario di avviare un ed eseguire le istruzioni della riga di comando direttamente sul sistema compromesso.
“Impiega tecniche avanzate di offuscamento, crittografia e anti-analisi, tra cui i payload basati su PowerShell, le routine di decrittografia RC4 e Base64, l’iniezione di processo dinamico, la manipolazione dei token e le capacità di movimento laterale”, ha affermato Prodofft. “Queste caratteristiche esemplificano la crescente complessità e adattabilità degli ecosistemi ransomware moderni.”
