Il Ragnar Loader è un toolkit malware sofisticato e in continua evoluzione utilizzato da vari gruppi di cybercriminali e ransomware, come Ragnar Locker, FIN7, FIN8 e Ruthless Mantis. Questo strumento gioca un ruolo cruciale nel mantenere l'accesso ai sistemi compromessi, consentendo agli attaccanti di rimanere nei network per operazioni a lungo termine. Sebbene sia associato al gruppo Ragnar Locker, non è chiaro se il Ragnar Loader sia di loro proprietà o semplicemente affittato ad altri. Ciò che è noto è che i suoi sviluppatori continuano ad aggiungere nuove funzionalità, rendendolo più modulare e difficile da rilevare.

Fin dalle sue prime documentazioni nel 2021

Il Ragnar Loader è stato utilizzato per stabilire punti d'appoggio a lungo termine negli ambienti target, impiegando una serie di tecniche per evitare il rilevamento e garantire la resilienza operativa. Questo malware utilizza payload basati su PowerShell per l'esecuzione, incorpora metodi di crittografia e codifica robusti come RC4 e Base64 per nascondere le sue operazioni, e impiega strategie sofisticate di iniezione di processi per mantenere il controllo nascosto sui sistemi compromessi.

Gli affiliati possono accedere al malware sotto forma di un pacchetto di file archivio contenente componenti multipli per facilitare shell inversa, escalation locale dei privilegi e accesso remoto al desktop. Il Ragnar Loader è progettato per stabilire comunicazioni con l'attore della minaccia, consentendo loro di controllare il sistema infetto tramite un pannello di comando e controllo (C2). Inoltre, è in grado di condurre varie operazioni di backdoor eseguendo plugin DLL e shellcode, oltre a leggere ed esfiltrare i contenuti di file arbitrari.

Per abilitare il movimento laterale all'interno di una rete

Il Ragnar Loader utilizza un altro file basato su PowerShell. Un componente critico è un file eseguibile Linux ELF denominato 'bc', progettato per facilitare le connessioni remote, permettendo all'avversario di lanciare ed eseguire comandi direttamente sul sistema compromesso. Questo malware impiega tecniche avanzate di offuscamento, crittografia e anti-analisi, tra cui payload basati su PowerShell, routine di decrittazione RC4 e Base64, iniezione dinamica di processi, manipolazione dei token e capacità di movimento laterale.