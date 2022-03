Sinds het begin van dit jaar zijn meer dan vijftig organisaties in de vitale infrastructuur getroffen door de criminelen achter de RagnarLocker-ransomware, maar systemen in Oost-Europese en Centraal-Aziatische landen worden ontzien, zo stelt de FBI in een waarschuwing. De groep is sinds april 2020 actief en wist sindsdien onder andere drankenproducent Campari, gameontwikkelaar Capcom, geheugenfabrikant ADATA en reisorganisatie CWT te infecteren. CWT betaalde naar verluidt 4,5 miljoen dollar losgeld.

De afgelopen twee maanden wist de groep tenminste 52 organisaties in vitale sectoren te infecteren, waaronder energie, financiële diensten, overheid, vitale productie en it. Zodra de ransomware op een systeem actief wordt gebruikt die een Windows API om de locatie van de besmette machine te achterhalen. Als blijkt dat het slachtoffer zich bevindt in Azerbeidzjan, Armenië, Belarus, Kazachstan, Kirgizië, Moldavië, Tadzjikistan, Rusland, Turkmenistan, Oezbekistan, Oekraïne of Georgië, dan schakelt de ransomware zichzelf uit.

In de waarschuwing geeft de FBI verschillende indicators of compromise, zoals ip-adressen, domeinen, e-mailadressen en bitcoinadressen, die organisaties kunnen gebruiken om te kijken of ze slachtoffer zijn geworden. Daarnaast worden ook algemene beschermingsmaatregelen gegeven, zoals het patchen van systemen en maken van back-ups (pdf).