Los cazadores de amenazas han arrojado luz sobre un «kit de herramientas de malware sofisticado y en evolución» llamado Cargador ragnar Eso es utilizado por varios grupos de delitos cibernéticos y de ransomware como Ragnar Locker (también conocido como Monstruus Mantis), FIN7, FIN8 y Mantis despiadados (ex Revil).
«Ragnar Loader desempeña un papel clave para mantener el acceso a los sistemas comprometidos, ayudando a los atacantes a permanecer en las redes para operaciones a largo plazo», dijo la compañía suiza de ciberseguridad ProDaft en un comunicado compartido con Hacker News.
«Si bien está vinculado al grupo de casilleros Ragnar, no está claro si lo poseen o simplemente lo alquilan a los demás. Lo que sí sabemos es que sus desarrolladores están constantemente agregando nuevas características, lo que lo hace más modular y más difícil de detectar».
Ragnar Loader, también conocido como Sardonic, fue documentado por primera vez por Bitdefender en agosto de 2021 en relación con un ataque fallido realizado por FIN8 dirigido a una institución financiera no identificada ubicada en los Estados Unidos, se dice que se ha utilizado desde 2020.
Luego, en julio de 2023, Symantec, propiedad de Broadcom, reveló el uso de FIN8 de una versión actualizada de la puerta trasera para entregar el ahora desaparecido BlackCat Ransomware.
La funcionalidad central del cargador Ragnar es su capacidad para establecer puntos de apoyo a largo plazo dentro de entornos específicos, al tiempo que emplea un arsenal de técnicas para evitar la detección y garantizar la resiliencia operativa.
«El malware utiliza cargas útiles basadas en PowerShell para la ejecución, incorpora fuertes métodos de encriptación y codificación (incluidas RC4 y Base64) para ocultar sus operaciones y emplea estrategias de inyección de procesos sofisticadas para establecer y mantener un control sigiloso sobre los sistemas comprometidos», señaló Pindeft.
«Estas características mejoran colectivamente su capacidad para evadir la detección y persistir dentro de entornos específicos».
El malware se ofrece a los afiliados en forma de un paquete de archivo de archivo que contiene múltiples componentes para facilitar el shell inverso, la escalada de privilegios locales y el acceso de escritorio remoto. También está diseñado para establecer comunicaciones con el actor de amenaza, lo que les permite controlar de forma remota el sistema infectado a través de un panel de comando y control (C2).
Típicamente ejecutado en sistemas de víctimas utilizando PowerShell, Ragnar Loader integra un grupo de técnicas anti-análisis para resistir la detección y oscurecer la lógica del flujo de control.
Además, presenta la capacidad de realizar varias operaciones de puerta trasera ejecutando complementos DLL y shellcode, así como leer y exfiltrar el contenido de archivos arbitrarios. Para habilitar el movimiento lateral dentro de una red, hace uso de otro archivo de pivote basado en PowerShell.
Otro componente crítico es un archivo ELF ejecutable de Linux llamado BC diseñado para facilitar las conexiones remotas, lo que permite que el adversario inicie una y ejecute instrucciones de línea de comandos directamente en el sistema comprometido.
«Emplea técnicas avanzadas de ofuscación, cifrado y anti-análisis, incluidas las cargas útiles basadas en PowerShell, las rutinas de descifrado RC4 y Base64, la inyección dinámica de procesos, la manipulación de tokens y las capacidades de movimiento lateral», dijo Productaft. «Estas características ejemplifican la creciente complejidad y adaptabilidad de los ecosistemas modernos de ransomware».