FBI警告：美國52個關鍵基礎設施已被入侵

據悉，RagnarLocker在過去一年間攻擊了大量美國關鍵基礎設施部門，FBI警告黑客會以保留Windows系統檔案及瀏覽器功能等手法隱蔽加密檔案行為，躲避系統偵測。

美國聯邦調查局（FBI）提供勒索軟件RagnarLocker的入侵指標（IOCs），下圖為局部資料示意。

美國聯邦調查局FBI本周警告，已發現至少有52家橫跨十大關鍵基礎設施領域的組織，遭到RagnarLocker勒索軟件入侵，涵蓋制造、能源、金融服務、政府及信息技術等領域，FBI除了提供該勒索軟件的入侵指標（IOCs）外，也督促受害者向主管機關舉報，以及提供相關細節利于追蹤黑客，避免其它組織受害。

Ragnar Locker勒索組織的終止托管服務提供商 (MSP)，使用的是遠程管理軟件，包括ConnectWise、Kaseya，以此遠程管理那些受感染的企業。而且這還有利于攻擊者躲避系統檢測，確保遠程登錄的管理員不會干擾或阻止勒索軟件部署過程。

同時FBI希望被勒索的企事業單位盡量不要向Ragnar Locker勒索組織支付贖金，因為即便支付了贖金也無法保證數據可以解密，或不被泄露。相反，支付贖金將進一步刺激勒索組織發起更廣泛的攻擊，并吸引更多的攻擊者加入到勒索的隊伍中。

RagnarLocker最早出現于2019年，黑客會先滲透受害者系統，接著辨識受害裝置的位置，倘若位于白俄羅斯、哈薩克、俄羅斯或烏克蘭等國家，便會停止攻擊。

此外，與其選擇欲加密的檔案，RagnarLocker過濾了不加密的檔案，主要是為了保留Windows系統檔案及各種瀏覽器功能，以便黑客在執行加密檔案的過程中，電腦仍可正常執行而不被發現。

RagnarLocker曾于2020年攻擊全球第四大集裝箱船運企業CMA CGM，臺灣的威剛也在去年成為RagnarLocker的受害者。

FBI表示，雖然他們并不鼓勵受害者支付贖金，但也能理解受害者會評估各種可能的選擇來保護他們的股東、員工或客戶，不管是否支付贖金，都應該向執法機關舉報。