Ragnar Locker ransomware valt EDP-energie gigant aan en vraagt €10 miljoen
Aanvallers die gebruik maken van de Ragnar Locker ransomware hebben het systeem van de Portugese multinational energie gigant Energias de Portugal (EDP) versleuteld en vragen nu om een geldbedrag van 9.9 miljoen euro.
Wie is EDP?
EDP Group is één van de grootste Europese operatoren in de energiesector (gas en elektriciteit) en de op drie na grootste producent van windenergie. De organisatie is verspreid over 19 landen op vier continenten, telt meer dan 11.500 werknemers en levert energie aan meer dan elf miljoen klanten.
Aanvallers dreigen 10 terabyte aan gestolen documenten te lekken.
Tijdens de aanval zeggen de Ragnar Locker ransomware operators meer dan 10 terabyte aan gevoelige bedrijfsdocumenten te hebben gestolen, en dreigen deze nu te lekken tenzij het geldbedrag wordt betaald.
“We hebben meer dan 10TB aan privé informatie van de EDP group servers,” aldus het bericht op Ragnarok’s leak site.
“We hebben een paar bestanden en screenshots van jullie netwerk als bewijs van dat we echt in het bezit zijn hiervan. Momenteel is dit bericht tijdelijk online, maar kan zeker permanent worden en we plaatsen dit datalek op grote en bekende blogs en zullen al jullie klanten, partners en concurrentie op de hoogte brengen. Dus het ligt eraan of dit publiek wordt of niet!”
Naast de gelekte bestanden, hebben de aanvallers om aan te geven wat er ging gebeuren, een edpradmin2.kdb bestand bijgevoegd, wat een KeePass wachtwoord voor de manager database is.
Wanneer men de website aanklikt, leidt de link naar een database export met loginnamen van EDP-medewerkers, wachtwoorden, accounts, URLs en notities.
Het Ragnar Locker ransomware onderdeel dat gebruikt is voor deze aanval werd gevonden door MalwareHunterTeam en BleepingComputer. De bedrijven hebben ook de losgeldbrief gevonden de Tor betaling pagina waar de aanvallers de details over het versleutingsproces en het losgeld bedrag beschrijven.
Volgens de losgeldbrief die staat op de EDP versleutelde systemen, is het de aanvallers gelukt om vertrouwelijke informatie op facturen, contracten, transacties, cliënten en partners te stelen.
“En wees verzekerd dat wanneer je niet betaalt, alle bestanden en documenten worden gepubliceerd zodat iedereen ze kan zien. En we laten ook al jullie cliënten en partners weten van dit lek met directe links”, zo staat in de losgeldbrief. “Dus als jullie deze reputatieschade willen voorkomen, dan zou ik maar het geldbedrag betalen waar we om vragen.”
EDP belachelijk gemaakt in de live chatroom
Wat BleepingComputer ook heeft geconstateerd, is dat de Ragnar Locker operator de spot heeft gedreven met EPD in een live chat “client room” die door de aanvallers is gemaakt om te communiceren met het slachtoffer en te vragen of zij “dit bericht over het bedrijf” willen lezen op de website van het datalek en of het bedrijf er klaar voor was om privégegevens van zichzelf te zien op tech-blogs en websites van financiële beurzen.
Ze hebben er ook nog “de tijd tikt door” aan toegevoegd en waarschuwen EDP dat ze niet moeten proberen de versleutelde documenten te ontsleutelen met software anders dan die van de Ragnar Locker operators omdat ze dan alles kunnen kwijtraken.
De aanvallers hebben ook een vermindering van het geldbedrag aangeboden wanneer EDP binnen twee dagen zou reageren nadat hun systemen zijn versleuteld, maar waarschuwen dat ze op hun beurt moeten wachten, omdat de ransomware’s live chat niet 24/7 online is.
BleepingComputer heeft geprobeerd EDP te bereiken voor een reactie en details, maar hebben nog niks van ze vernomen.
Verzonden via MSP Enterprise support tools
De Ragnar Locker ransomware is voor het eerst gespot tijdens een aanval op aangetaste netwerken in het einde van december 2019. De Ragnar Locker operator richt zich op software die vaak gebruikt wordt bij managed serviceproviders om te voorkomen dat deze worden gedetecteerd en geblokkeerd.
Kyle Hanslovan, de CEO van de MSP security firma Huntress Labs, vertelde BleepingComputers dat in februari zijn bedrijf Ragnar Locker heeft zien worden ingezet via de MSP software ConnectWise.
Na de verkennings- en pre-implementatie stadia, plaatsen de aanvallers een exact gerichte ransomware executable die een specifieke extensie toevoegt aan versleutelde bestanden, voorzien van een embedded RSA-2018 key en een zelfgemaakte losgeldbrief plaatst. De losgeldbrief bevat de naam van het bedrijf, een link naar de Tor site en de datalek website waar de data van het slachtoffer staat gepubliceerd. BleepingComputer heeft voorheen meerdere losgeld brieven gezien voor Ragnar Locker, met geldbedragen tussen de tweehonderdduizend dollar en zeshonderdduizend dollar.
Opvallend
Wat vooral opvallend is bij deze aanval is dat een grote energieleverancier in Europa wordt aangepakt met ransomware. Dat is uitzonderlijk. Ook is de aanpak van publiceren in plaats van vernietigen of de verkregen intel te gebruiken de service van EDP te onderbreken en daarmee grote schade aan te brengen. iets wat niet vaak voorkomt. Duidelijk is dat de zwakheden in de essentiële aspecten van onze samenleving uitgenut (gaan) worden door professionele hackers.
Bron: BleepingComputer.com