Ragnar Loader, также известный под названием Sardonic, представляет собой мощный набор инструментов для обеспечения длительного доступа к скомпрометированным системам. Этот инструмент используется киберпреступными группировками для проведения долгосрочных операций, что позволяет им оставаться незамеченными внутри атакуемых сетей.
Программа использует PowerShell-исполняемые payload'ы, что дает возможность выполнять многочисленные операции, включая инъекции в процессы, установление обратных соединений, повышение локальных привилегий и доступ к удаленному рабочему столу. Для управления коммуникацией применяется собственная панель команд и контроля, а также предусмотрен Linux-исполняемый ELF-файл под названием «bc», обеспечивающий выполнение команд через командную строку на зараженных системах.
Первое документирование Ragnar Loader произошло в августе 2021 года по отчету компании Bitdefender, связанного с неудачной атакой FIN8 на нераскрытую финансовую организацию в США. Операционное применение инструмента датируется 2020 годом, а его обновленная версия была обнаружена в июле 2023 года по информации от Symantec, принадлежащей Broadcom, в связи с использованием FIN8 для доставки ныне неактивного рансомваре BlackCat.
Средство используется различными группами, такими как FIN7, FIN8, Ragnar Locker (также известной как Monstrous Mantis) и Ruthless Mantis (бывший REvil). По словам швейцарской компании по кибербезопасности PRODAFT, данный инструмент играет ключевую роль в «сохранении доступа к скомпрометированным системам», при этом остается неясным, принадлежит ли он непосредственно группе Ragnar Locker или сдается в аренду другим преступным структурам.
Технические возможности Ragnar Loader включают сложные методы шифрования и кодирования с использованием алгоритма RC4 и Base64, динамическую инъекцию процессов, применение DLL-плагинов и shellcode для реализации скрытых бэкдоров. Инструмент также способен читать и извлекать содержимое произвольных файлов, использовать отдельные PowerShell-скрипты для бокового перемещения по сети, а его Linux-компонент «bc» обеспечивает удаленное выполнение команд.
Нарастающая сложность и адаптивность современных рансомваре-экосистем свидетельствуют о постоянном совершенствовании инструментов, подобных Ragnar Loader. Разработчики регулярно добавляют новые функции, делая инструмент более модульным и значительно усложняя его обнаружение средствами защиты, что подчеркивает высокую динамичность угроз в киберпространстве.
Эволюция Ragnar Loader демонстрирует, как современные киберпреступные группы расширяют свои возможности для длительного контроля над целевыми системами. Техническая изощренность, широкие функциональные возможности и подтвержденная история обновлений говорят о том, что данный инструмент остается важным элементом в арсенале хакеров, направленным на эксплуатацию корпоративных и финансовых сетей.
Изображение носит иллюстративный характер
Программа использует PowerShell-исполняемые payload'ы, что дает возможность выполнять многочисленные операции, включая инъекции в процессы, установление обратных соединений, повышение локальных привилегий и доступ к удаленному рабочему столу. Для управления коммуникацией применяется собственная панель команд и контроля, а также предусмотрен Linux-исполняемый ELF-файл под названием «bc», обеспечивающий выполнение команд через командную строку на зараженных системах.
Первое документирование Ragnar Loader произошло в августе 2021 года по отчету компании Bitdefender, связанного с неудачной атакой FIN8 на нераскрытую финансовую организацию в США. Операционное применение инструмента датируется 2020 годом, а его обновленная версия была обнаружена в июле 2023 года по информации от Symantec, принадлежащей Broadcom, в связи с использованием FIN8 для доставки ныне неактивного рансомваре BlackCat.
Средство используется различными группами, такими как FIN7, FIN8, Ragnar Locker (также известной как Monstrous Mantis) и Ruthless Mantis (бывший REvil). По словам швейцарской компании по кибербезопасности PRODAFT, данный инструмент играет ключевую роль в «сохранении доступа к скомпрометированным системам», при этом остается неясным, принадлежит ли он непосредственно группе Ragnar Locker или сдается в аренду другим преступным структурам.
Технические возможности Ragnar Loader включают сложные методы шифрования и кодирования с использованием алгоритма RC4 и Base64, динамическую инъекцию процессов, применение DLL-плагинов и shellcode для реализации скрытых бэкдоров. Инструмент также способен читать и извлекать содержимое произвольных файлов, использовать отдельные PowerShell-скрипты для бокового перемещения по сети, а его Linux-компонент «bc» обеспечивает удаленное выполнение команд.
Нарастающая сложность и адаптивность современных рансомваре-экосистем свидетельствуют о постоянном совершенствовании инструментов, подобных Ragnar Loader. Разработчики регулярно добавляют новые функции, делая инструмент более модульным и значительно усложняя его обнаружение средствами защиты, что подчеркивает высокую динамичность угроз в киберпространстве.
Эволюция Ragnar Loader демонстрирует, как современные киберпреступные группы расширяют свои возможности для длительного контроля над целевыми системами. Техническая изощренность, широкие функциональные возможности и подтвержденная история обновлений говорят о том, что данный инструмент остается важным элементом в арсенале хакеров, направленным на эксплуатацию корпоративных и финансовых сетей.
