Los cazadores de amenazas han arrojado luz sobre un “kit de herramientas de malware sofisticado y en proceso” llamado Cargador ragnar Eso es utilizado por varios grupos de delitos cibernéticos y de ransomware como Ragnar Locker (igualmente conocido como Monstruus Mantis), FIN7, FIN8 y Mantis despiadados (ex Revil).
“Ragnar Loader desempeña un papel secreto para suministrar el paso a los sistemas comprometidos, ayudando a los atacantes a permanecer en las redes para operaciones a holgado plazo”, dijo la compañía suiza de ciberseguridad ProDaft en un comunicado compartido con Hacker News.
“Si perfectamente está vinculado al comunidad de casilleros Ragnar, no está claro si lo poseen o simplemente lo alquilan a los demás. Lo que sí sabemos es que sus desarrolladores están constantemente agregando nuevas características, lo que lo hace más modular y más difícil de detectar”.
Ragnar Loader, igualmente conocido como Sardonic, fue documentado por primera vez por Bitdefender en agosto de 2021 en relación con un ataque fallido realizado por FIN8 dirigido a una institución financiera no identificada ubicada en los Estados Unidos, se dice que se ha utilizado desde 2020.
Luego, en julio de 2023, Symantec, propiedad de Broadcom, reveló el uso de FIN8 de una lectura actualizada de la puerta trasera para entregar el ahora desaparecido BlackCat Ransomware.
La funcionalidad central del cargador Ragnar es su capacidad para establecer puntos de apoyo a holgado plazo adentro de entornos específicos, al tiempo que emplea un conjunto de técnicas para evitar la detección y certificar la resiliencia operativa.
“El malware utiliza cargas aperos basadas en PowerShell para la ejecución, incorpora fuertes métodos de encriptación y codificación (incluidas RC4 y Base64) para ocultar sus operaciones y emplea estrategias de inyección de procesos sofisticadas para establecer y suministrar un control sigiloso sobre los sistemas comprometidos”, señaló Pindeft.
“Estas características mejoran colectivamente su capacidad para eludir la detección y persistir adentro de entornos específicos”.
El malware se ofrece a los afiliados en forma de un paquete de archivo de archivo que contiene múltiples componentes para simplificar el shell inverso, la subida de privilegios locales y el paso de escritorio remoto. Todavía está diseñado para establecer comunicaciones con el actor de amenaza, lo que les permite controlar de forma remota el sistema infectado a través de un panel de comando y control (C2).
Típicamente ejecutado en sistemas de víctimas utilizando PowerShell, Ragnar Loader integra un comunidad de técnicas anti-análisis para resistir la detección y oscurecer la deducción del flujo de control.
Por otra parte, presenta la capacidad de realizar varias operaciones de puerta trasera ejecutando complementos DLL y shellcode, así como ojear y exfiltrar el contenido de archivos arbitrarios. Para habilitar el movimiento colateral adentro de una red, hace uso de otro archivo de pivote basado en PowerShell.
Otro componente crítico es un archivo ELF ejecutable de Linux llamado BC diseñado para simplificar las conexiones remotas, lo que permite que el adversario inicie una y ejecute instrucciones de trayecto de comandos directamente en el sistema comprometido.
“Emplea técnicas avanzadas de ofuscación, criptográfico y anti-análisis, incluidas las cargas aperos basadas en PowerShell, las rutinas de descifrado RC4 y Base64, la inyección dinámica de procesos, la manipulación de tokens y las capacidades de movimiento colateral”, dijo Productaft. “Estas características ejemplifican la creciente complejidad y adaptabilidad de los ecosistemas modernos de ransomware”.
