RagnarLocker

Ragnar Locker は、2019 年から 2023 年に活動したランサムウェア グループで、ユーロポールによって解体されました。 RAGNAR SECRET 文字列を含む PE32 GUI x86 バイナリが確認されました。ファイル暗号化には CryptAcquireContextW+CryptEncrypt を使用します。ドライブとファイルの列挙には GetDriveTypeW+FindFirstFileW/FindNextFileW を使用します。 SYSTEM への権限昇格のための OpenProcessToken+DuplicateTokenEx。 12 ヶ国以上の企業ネットワークを対象としています。

脅威プロファイル
タイプ Ransomware
プログラミング言語C
C2プロトコル
初回検出2020
標的 Windows
目的 / 機能
  • VMware ESXi を含むエンタープライズ暗号化
このファミリーのC2サーバーはまだ確認されていません。

リサーチレポート (3)

重大

RagnarLockerRansomware 041fd213 -- RAGNAR SECRET Confirmed CryptEncrypt File Encryption GetDriveTypeW Drive Enumeration OpenProcessToken DuplicateTokenEx Privilege Escalation | Kritik

RagnarLocker 041fd213 PE32 GUI x86 818KB entropy 7.97. RAGNAR SECRET string onay. CryptEncrypt dosya sifreleme. GetDriveTypeW drive enumeration. OpenProcessToken DuplicateTokenEx privilege escalation.

レポートを読む →

RagnarLocker -- alfons Developer, javaw.exe Java Taklidi PDB 58KB Ultra Küçük | Yüksek

RagnarLocker 58KB. C:\Users\alfons\Desktop\javaw.exe PDB. APPDATA alfons gelistirici parmak izi. CryptEncrypt.

レポートを読む →
重大

RagnarLocker -- 817KB, .adobe PE Section Imzasi, CryptEncrypt CAPI | Kritik

RagnarLocker 817KB. .adobe PE section imzası. CryptEncrypt CAPI. Teknik VMware ESXi.

レポートを読む →