Ragnar Locker : un cybergang discret, mais redoutable

Le FBI vient de partager une série d’indicateurs de compromission liés aux activités des opérateurs du ransomware Ragnar Locker. Dans cette note d’information, les forces de l’ordre américaines indiquent avoir « identifié au moins 52 entités sur dix secteurs d’infrastructure critique affectés par le ransomware Ragnar Locker ».

À travers le monde, 27 cyberattaques ont été attribuées ou revendiquées par le groupe en 2020, 14 en 2021 et déjà deux en 2022, soit un total de 43 à ce jour. Comparé à d’autres groupes, comme Conti ou REvil, c’est peu, très peu.

Mais les opérateurs de Ragnar Locker semblent concentrer leurs efforts sur des cibles de haut niveau. Leur première victime a été connue début avril 2020 : l’armateur MSC. D’autres ont hélas suivi : l’énergéticien EDP, Carlson WagonLit Travel, le groupe Campari, Capcom, CMA-CGM, ou encore Dassault Falcon Jet, et même plus récemment LDLC.

Et si les opérateurs de Ragnar Locker ne semblent pas très prolifiques, ils apparaissent patients et méthodiques. Dans un échange avec la rédaction en décembre 2020, au sujet de l’attaque conduite contre Dassault Falcon Jet, ils nous ont ainsi indiqué être restés tapis dans le système d’information de l’avionneur pendant plus de six mois. À l’aide du moteur de recherche spécialisé Onyphe, nous avons identifié un système qui était affecté par la vulnérabilité dite Shitrix à la fin du mois de mars précédent. Les assaillants nous ont confirmé l’avoir exploitée. Mais les contrôles de sécurité en place semblent leur avoir sensiblement compliqué la tâche : « pour être honnête, disons qu’ils ont un périmètre de sécurité très robuste. Pas assez, toutefois ». 

Les indicateurs tout juste publiés par le FBI suggèrent l’exploitation de la vulnérabilité CVE-2021-26084, concernant les instances Atlassian Confluence, dévoilée fin août dernier. Un démonstrateur d’exploitation en a très rapidement été rendu public et, peu de temps après, les alertes se sont multipliées. Mais trop tard, pour certaines victimes : les marqueurs des autorités américaines suggèrent que cette exploitation par Ragnar Locker était déjà effective début septembre 2021.

Dans sa note d’information, le FBI explique que les opérateurs du rançongiciel « utilisent VMProtect, UPX et des algorithmes d’empaquetage propriétaires » pour maquiller leur maliciel. En outre, ils le déploient « au sein d’une machine virtuelle personnalisée sous Windows XP » dans l’environnement de leur cible.

En outre, leur maliciel « vérifie s’il y a des infections existantes » afin d’éviter que différentes couches chiffrement ne se superposent et ne viennent risquer de corrompre les données. De fait, il existe des cas où plusieurs intrus sont présents simultanément dans le système d’information d’une même victime. Un échange entre membres du groupe Conti récemment divulgué fait ainsi état de la présence d’un second groupe, également actif dans le système d’information de la cible, mi-septembre dernier.

Les indicateurs fournis par le FBI sur trois adresses Bitcoin utilisées par Ragnar Locker début 2021 suggèrent une gestion méticuleuse des flux financiers afin d’essayer de brouiller les pistes au mieux. Certains flux liés aux activités d’Avaddon et de Conti se sont avérés bien plus faciles à suivre.

Pour autant, cela n’a pas empêché l’interpellation, début octobre 2021, de « deux opérateurs prolifiques de ransomware », en Ukraine, avec notamment l’aide de la Gendarmerie nationale. Nos confrères de la Lettre A ont confirmé, début décembre dernier, que ces interpellations concernaient bien le groupe Ragnar Locker.