TOP Malware Series: Ragnar Locker Ransomware



¿Qué es Ragnar Locker?


Ragnar Locker es un Ransomware de origen Ruso que opera bajo la modalidad de ataque denominada RaaS (Ransomware-as-a-Service), lo que significa que mientras un grupo se encarga del proceso de desarrollo y actualización del código, otros grupos denominados "afiliados" se encargan de la distribución a diferentes organizaciones, siempre con un objetivo ya establecido.


Las primeras apariciones de Rangar Locker fueron en diciembre del 2019, en donde analistas forenses llegaron a la conclusión de que el modus operandi de Ragnar Locker es un proceso largo pero muy efectivo. Pasan por comprometer a la red de la organización, realizando un reconocimiento profundo, para luego desplegarse en todos los segmentos de la red y ejecutar el PayLoad para cifrar todas las maquinas de la organización. Teniendo como objetivo los sistemas operativos Windows.

Imagen 1: Captura de pantalla del Ragnar Ransomware ya ejecutado, con los archivos cifrados.


Ragnar Locker opera bajo la misma modalidad que Maze Ransomware, es decir, antes de ejecutar su PayLoad (carga útil) en las maquinas afectadas, inyecta un modulo que permite recopilar todo tipo de datos para luego ser enviados a un servidor de uso exclusivo de recolección de archivos de todo tipo. Esto es realizado para tener un segundo vector de negociación, es decir, si la victima se niega a pagar el rescate de los activos digitales en las maquinas afectadas, entonces se usará los datos recopilados para realizar un chantaje. Generalmente para vender la información al mejor postor o divulgarlos de forma libre en su blog en la red Tor.

Imagen 2: Sitio oficial de Ragnar Locker donde publican la información de sus víctimas.


Además de estas características, los operadores de Ragnar Ransomware tienen a duplicar el precio del rescate de los activos digitales si en un plazo de 7 días no llegan a un acuerdo o simplemente la organización afectada no responde a las demandas. El valor de los rescates en promedio son de cientos de miles de dólares americanos.


Rargnar Locker tiene como objetivo de infección los softwares de gestión remota usado por los proveedores de gestión de servicios (También conocidas como Managed Service Provider - MSP). Este Ransomware puede enumerar todos los servicios en ejecución de las maquinas infectadas y puede detener los servicios que contienen una cadena específica.


Características de Ragnar Locker

  • Roba información personal y de la organización.

  • Cifra los archivos con la extensión .ragnar_*

  • Las victimas son grandes corporaciones de diferentes rubros.

  • Los rescates digitales tienen un valor aproximado de 25 Bitcoins (Existen caso de que las sumas superan los 1.500 bitcoins).

  • Utilizan una máquina virtual del tipo MicroXp para infectar el Host, evadiendo de esta manera la detección de algunos Antivirus, EDR's y Firewalls.

  • Si la victima no paga el rescate, el valor de las llaves se duplican pasado los 7 días.

  • Si la organización no paga el rescate, los operadores harán libre la descarga de los activos robados antes de la iniciación del PayLoad.

  • Ragnar Locker apunta a las herramientas de soporte empresariales del tipo MSP.

  • Usan exploits para obtener acceso a las maquinas de una organización vía RDP (También se sospecha de compra de credenciales de acceso en la Dark Net).

  • Otro de sus métodos de infección es usando maquinas virtuales con Windows XP para eludir el software de seguridad de la maquina Host mediante el uso de los recursos compartidos.


Excepciones de Ragnar Locker:


Aunque los operadores de Ragnar Locker tienen como objetivo toda infraestructura y organizaciones, cuyas posibilidades de un rescate sean más que posibles, tiene un limite de rango de ataque, es decir, que dependiendo en donde se empiece a ejecutar el Ransomware, puede proceder a la ejecución del cifrado o no ejecutarse.


Ragnar Locker verificará las preferencias de idioma de Windows y si están configuradas como uno de los países de la antigua URSS, finalizará el proceso del Ransomware y no cifrará la computadora.


Los países en donde Ragnar Locker no procede con el cifrado son:

  • Armenia

  • Azerbaiyán

  • Bielorrusia

  • Estonia

  • Georgia

  • Kazajistán

  • Kirguistán

  • Letonia

  • Lituania

  • Moldavia

  • Rusia

  • Tayikistán

  • Turkmenistán

  • Ucrania

  • Uzbekistán


Distribución de Ragnar Locker


Los atacantes camuflan un código malicioso dentro de otro archivo o programa reconocido para la empresa o usuario (a pesar de que sea ilegal), tan solo para que el usuario ejecute la aplicación. De esta manera, éste le está abriendo la puerta al malware que pueda infectarse y propagarse por toda la red posible.


Algunos ejemplos de estos programas o archivos camuflados: 

  • Archivos adjuntos en correos electrónicos en campañas de spam dirigidos.

  • Vídeos de páginas de dudoso origen.

  • Actualizaciones fraudulentas del sistema o aplicaciones de trabajo. 

Una vez el Ransomware consigue desplegar su Payload en el sistema, éste se activa y comienza a cifrar toda la infraestructura, a la vez que lanza un mensaje de advertencia, con la amenaza y el importe del rescate a pagar para recuperar la información bloqueada.


En resumen, antes de comprometer a la red de la organización y realizar el ataque de los archivos en las maquinas que tengan control los operadores de Ragnar Locker, usan diferentes tácticas para entrar a la organización sin que sean detectados. Además de esta característica de distribución, para evitar que el PayLoad sea detectado por los sistemas de seguridad convencionales como EDR, Antivirus y Firewalls, una simple maquina virtual con Windows XP modificado.



Ragnar Locker y la maquina virtual.


Ragnar Locker no es más conocido que Maze, Dharma o el mismo WannaCry, sin embargo, utiliza una técnica especial para evadir la detección temprana de los EDR, Antivirus y Firewalls tradicionales. Ragnar Locker utiliza una maquina virtual para no ser detectado mediante el uso la característica "recursos compartidos" de Windows, y así infectar tanto la maquina virtual como las conexiones al host final. Que en este caso, es el objetivo del Ransomware.

Imagen 3: Foto captura de la maquina virtual usado por Ragnar Locker con el MicroXP.


Los operadores de Ragnar Locker utilizaron una tarea de GPO para ejecutar Microsoft Installer (msiexec.exe), pasando parámetros para descargar e instalar silenciosamente un paquete MSI diseñado y sin firmar de 122 MB desde un servidor web remoto. Los contenidos principales del paquete MSI fueron:

  • Una instalación funcional de un antiguo hipervisor Oracle VirtualBox; en realidad, Sun xVM VirtualBox versión 3.0.4 del 5 de agosto de 2009 (Oracle compró Sun Microsystems en 2010).

  • Un archivo de imagen de disco virtual (VDI) denominado micro.vdi: una imagen de una versión reducida del sistema operativo Windows XP SP3, denominada MicroXP v0.82. La imagen incluye el ejecutable del ransomware Ragnar Locker de 49 kB.

Como se mencionó, la Maquina Virtual invitada es una edición MicroXP del sistema operativo Windows XP y está incluida en un solo archivo llamado micro.vdi.


El ejecutable del Ransomware se encuentra ubicado en C:\vrun.exe. El Ransomware se compila exclusivamente por la víctima, ya que la nota de rescate que suelta contiene el nombre de la víctima (o en este caso, alguna organización pública o privada).

Imagen 4: Ubicación de Ragnar Locker, bajo el nombre de vrun.exe.


Para iniciar el proceso del Ransomware, existe un archivo por lotes llamado vrun.bat, el cual, se encuentra en C:\Documents and Settings\Administrator\Start Menu\Programs\Startup\

Imagen 5: Ubicación del proceso principal del Ransomware dentro de MicroXP.


Esta configuración utiliza el último, y de este modo, el Ransomware cifra los archivos en todas las unidades de red asignadas disponibles.


Luego, el Ransomware suelta la nota de rescate personalizada:

Imagen 6: Mensaje sobre el cifrado de los archivos en la maquina de la victima.


Dado que la aplicación del Ransomware vrun.exe se ejecuta dentro de la máquina virtual WindowsXP, su proceso puede ejecutado sin tener obstáculos, esto ocurre porque están fuera del alcance del software de seguridad en la máquina host a infectar.



Recomendaciones de Seguridad

  • Instale una solución EDR con la capacidad de detener los procesos detectados y aislar sistemas en la red, según las condiciones identificadas.

  • Bloquee los C2 conocidos del atacante en el firewall e implemente los IOC’s en las distintas soluciones de seguridad.

  • Solicite un examen forense para identificar la raíz del incidente.

  • Comprenda el flujo de ataque a través del cual el actor de la amenaza pudo obtener acceso a la infraestructura, es importante para prevenir futuros incidentes a través del mismo vector de ataque.

  • Realice un restablecimiento de contraseña global. Se sabe que los actores de amenazas que operan estas familias de ransomware obtienen credenciales del sistema.

  • Implemente una política de contraseñas seguras y obligue a los usuarios a cambiar las contraseñas al menos cada 90 días.

  • Implemente la autenticación multifactor (MFA o 2FA).

  • Si no es necesario, elimine los puertos RDP vulnerables expuestos a Internet.

  • Bloquee los eventos de múltiples intentos de conexión SMB de un sistema a otro en la red durante un corto período de tiempo.

  • Realice un monitoreo de la Darkweb periódicamente para verificar si los datos de la organización están disponibles para vender en el mercado negro.

  • Realice Pruebas de Penetración y Ethical Hacking.

  • Implemente las actualizaciones de seguridad y mantenga el software de la compañía actualizado.

  • Monitoree las conexiones a la red desde ubicaciones sospechosas.

  • Monitoree las descargas y subidas de archivos durante horas no habituales, especial atención cuando el origen es el controlador de dominio

  • Realice un descubrimiento continuo de activos, puertos y servicios expuestos a Internet.

  • Monitoree los escaneos de red de servidores para servicios específicos como RDP, FTP, SSH y SMB.

  • Manténgase informado de las últimas amenazas y riesgos en Internet.

  • Realice un bloqueo preventivo de los Indicadores de Compromiso (Antispam, Firewall, Webfilter, Antivirus, etc).



Artículos relacionados

CronUp nace con la misión de maximizar la tranquilidad de las empresas, anticipando situaciones de riesgo que puedan afectar a sus procesos de negocio, provisión de servicios a clientes y canales electrónicos expuestos a Internet.

Escríbenos a

Síguenos en

  • Icono social Twitter
  • Icono social LinkedIn
  • Facebook icono social