Мультиплатформенный монстр: Ragnar Loader стал ещё мощнее и скрытнее
Модульный вредонос даёт преступникам полную невидимость в корпоративных сетях.
Исследователи киберугроз раскрыли детали о «сложном и постоянно развивающемся наборе вредоносных инструментов» Ragnar Loader, который активно используется преступными группировками Ragnar Locker (Monstrous Mantis), FIN7, FIN8 и Ruthless Mantis (бывший REvil).
По данным швейцарской компании PRODAFT, Ragnar Loader играет ключевую роль в обеспечении долгосрочного присутствия в скомпрометированных системах, позволяя атакующим скрытно закрепляться в сетях жертв. Разработчики этого инструмента продолжают добавлять новые модули и усовершенствования, делая его всё более труднообнаруживаемым.
Хотя Ragnar Loader связан с группировкой Ragnar Locker, пока остаётся неясным, является ли она его владельцем или только арендует его. Тем не менее, доподлинно известно то, что этот инструмент активно совершенствуется, становясь более модульным и устойчивым к детектированию.
Впервые о Ragnar Loader стало известно в августе 2021 года, когда специалисты Bitdefender задокументировали его применение в неудачной атаке группировки FIN8 на неназванный финансовый институт в США. Однако следы использования этого инструмента прослеживаются с 2020 года. В июле 2023 года исследователи из Symantec зафиксировали обновлённую версию Ragnar Loader, использовавшуюся для распространения ныне неактуального шифровальщика BlackCat.
Одной из ключевых функций Ragnar Loader является возможность длительного присутствия в сетях жертв. Для этого он использует мощный набор техник обхода обнаружения, включая выполнение полезных нагрузок на базе PowerShell, шифрование RC4 и Base64, а также сложные методы внедрения процессов. Это позволяет атакующим оставаться незаметными и сохранять контроль над заражёнными системами.
Ragnar Loader предоставляется аффилированным хакерским группам в виде архива, содержащего компоненты для удалённого управления, эскалации привилегий и организации доступа к рабочему столу. Он способен выполнять команды операторов через панель управления C2 и включает инструменты для обхода аналитических механизмов.
Дополнительно вредонос поддерживает работу с DLL-плагинами и шелл-кодом, а также умеет читать и отправлять файлы с заражённого устройства. Для перемещения по сети Ragnar Loader использует ещё один PowerShell-файл, обеспечивающий скрытный доступ к другим узлам.
Кроме того, исследователи PRODAFT обнаружили в составе Ragnar Loader исполняемый файл для Linux с именем «bc», предназначенный для удалённого соединения с заражённой системой. По своей функциональности он схож с BackConnect-модулями в других вредоносных программах, таких как QakBot и IcedID, позволяя атакующим выполнять команды напрямую. Подобная тактика часто применяется для атак на корпоративные сети, где устройства могут быть изолированы друг от друга.
Вредоносный инструмент продолжает эволюционировать, используя продвинутые методы шифрования, обфускации и обхода защитных механизмов. Всё это делает Ragnar Loader важным звеном в современных экосистемах программ-вымогателей, значительно повышая устойчивость атакующих к обнаружению и противодействию.