葡萄牙跨国能源公司EDP遭Ragnar Locker勒索千万欧元

近日，攻击者利用Ragnar Locker勒索软件袭击了葡萄牙跨国能源公司EDP（Energias de Portugal），并且索要1580的比特币赎金（折合约1090万美元/990万欧元）。对此，EDP尚未作出回复。

EDP集团是欧洲能源行业（天然气和电力）最大的运营商之一，也是世界第四大风能生产商。该公司在全球四个大洲的19个国家/地区拥有业务，拥有超过11500名员工，并为超过1100万客户提供能源。

攻击者扬言“撕票”10TB的窃密数据

在这次攻击过程中，Ragnar Locker勒索软件的幕后黑手声称已经获取了公司10TB的敏感数据文件，如果EDP不支付赎金，那么他们将在公开泄露这些数据。

据Ragnar的泄密网站说到：

我们已经下载了EDP组织服务器10TB的私密信息。作为证据，我们提供了一些你方企业网络中下载的文件截屏！现在这个帖子只是临时，但是如果你们不支付赎金，这也会成为永久性的页面！我们将在各大知名报社、媒体、博客公开这些文件资料，并且告知你们的客户、合作伙伴和竞争对手，所以这些文件是机密还是公开完全取决于你们！

Ragnar 网站的威胁通知

其中，攻击者泄露了部分文件来警告EDP，包含一个edpradmin2.kdb的文件，这是KeePass密码管理数据库。当点开这个泄露文件的链接，会直接导出EDP员工的登录名、密码、帐户、URLS以及注释。

MalwareHunter团队发现了这次勒索软件的攻击样本，并找到赎金记录和Tor付款页面，攻击者在其中详细描述了解密过程和勒索金额。

根据EDP加密系统上的赎金记录，攻击者能够窃取有关账单、合同、交易、客户和合作伙伴的机密信息。

赎金说明说：“并确保，如果您不付款，所有文件和文档将被公布给所有人查看，并且我们将通过直接链接通知所有客户和合作伙伴有关这次泄漏的信息。”

图片来自推特

所以如果你们不想名声受损，最好尽快按要求支付赎金。

攻击者在即时窗口中嘲讽EDP

Ragnar Locker勒索软件背后的操纵者还在通过“客服窗口”和EDP进行实时聊天，要求他们检查公司网站关于这个泄密威胁的通知，并询问公司是否愿意看到企业私人信息出现在快讯、技术博客和股市网站上。

他们还补充道“时不待人”，还警告EDP不要尝试使用除Ragnar Locker以外的解密器来破解文件，否则将有数据破坏和丢失的风险。

攻击者还调侃EDP如果在系统加密两天后联系他们，能够享受优惠价格。但是，他们也要等着，勒索软件的即时聊天也不会全天候在线。

截止发文，EDP公司对此尚未置评。

Ragnar Locker加密过程

Ragnar Locker勒索软件在2019年12月底首次被发现，专门针对托管服务提供商（MSP）的常用软件，来入侵网络窃取数据文件。

MSP安全公司Huntress Labs的首席执行官Kyle Hanslovan在2月说到，他的公司发现Ragnar Locker通过MSP软件ConnectWise进行了部署。

经过侦察和部署前阶段，攻击者构建针对性强的勒索软件可执行文件，该可执行文件为加密文件添加了特定的扩展名，具有嵌入式RSA-2048密钥，并加入自定义勒索票据。

Ragnar Locker具有多次的赎金记录，赎金记录包括受害者的公司名称、Tor站点的链接以及包含受害者已发布数据的数据泄漏站点，赎金范围从20万美元到大约60万美元不等。

SentinelLabs对这种勒索病毒进行分析，负责人Vitali Kremez提及，Ragnar Locker首次启动时将检查配置的Windows语言首选项，如果将它们设置为前苏联国家之一，则会终止该过程并且不对计算机进行加密。如果受害者通过了此检查，则勒索软件将停止上一节中所述的各种Windows服务。

现在已经准备好对计算机进行加密，Ragnar Locker将开始对计算机上的文件进行加密。

加密文件时，它将跳过以下文件夹、文件名和扩展名中的文件：

kernel32.dll

Windows

Windows.old

Tor browser

Internet Explorer

Google

Opera

Opera Software

Mozilla

Mozilla Firefox

$Recycle.Bin

ProgramData

All Users

autorun.inf

boot.ini

bootfont.bin

bootsect.bak

bootmgr

bootmgr.efi

bootmgfw.efi

desktop.ini

iconcache.db

ntldr

ntuser.dat

ntuser.dat.log

ntuser.ini

thumbs.db

.sys

.dll

.lnk

.msi

.drv

.exe

对于每个加密文件，文件名后都会添加一个预配置的扩展名，如.ragnar_22015ABC 。如下所示，“ RAGNAR”文件标记也将添加到每个加密文件的末尾。

加密文件标记

最后，将创建一个名为.RGNR_ [extension] .txt的赎金票据，其中包含有关受害者文件发生了什么情况、赎金金额、比特币支付地址、与攻击者进行通信的TOX聊天ID等信息，如果TOX则用备份的电子邮件地址。

Ragnar Locker勒索票据

目前针对Ragnar Locker勒索软件加密文件尚无法解密，后续本文将持续跟进。

参考链接：

RagnarLocker勒索软件袭击EDP能源巨头，索要1000万欧元

Ragnar Locker勒索软件将目标锁定MSP企业支持工具