محققان امنیت سایبری از یک ابزار مخرب پیچیده و در حال تکامل به نام Ragnar Loader پرده برداشته‌اند که به عنوان یک سلاح کلیدی در حملات سایبری و عملیات باج‌افزاری توسط گروه‌هایی مانند Ragnar Locker، FIN7، FIN8 و Ruthless Mantis )REvil سابق( مورد استفاده قرار می‌گیرد.

طبق گزارش شرکت امنیتی PRODAFT، این بدافزار به گونه‌ای طراحی شده که دسترسی پایدار به سیستم‌های آلوده را حفظ کرده و مهاجمان را قادر می‌سازد تا برای مدت طولانی در شبکه‌های قربانی باقی بمانند.

اما نکته قابل توجه این است که مالکیت این بدافزار همچنان مبهم است؛ مشخص نیست که گروه Ragnar Locker آن را توسعه داده یا صرفاً آن را در اختیار سایر گروه‌های مجرم سایبری قرار می‌دهد.

Ragnar Loader؛ ابزاری برای نفوذ ماندگار

Ragnar Loader که با نام Sardonic نیز شناخته می‌شود، برای نخستین بار در اوت ۲۰۲۱ توسط شرکت Bitdefender شناسایی شد. این ابزار در حمله‌ای ناموفق توسط گروه FIN8 علیه یک موسسه مالی در آمریکا مورد استفاده قرار گرفته بود. بررسی‌های انجام‌شده نشان می‌دهد که این بدافزار از سال ۲۰۲۰ فعال بوده است.

در جولای ۲۰۲۳، شرکت Symantec اعلام کرد که گروه FIN8 نسخه‌ای جدید از این بدافزار را برای انتشار باج‌افزار BlackCat به کار گرفته است.

ویژگی‌های پیشرفته Ragnar Loader

یکی از مهم‌ترین قابلیت‌های Ragnar Loader استقرار طولانی‌مدت در محیط‌های هدف و دور زدن مکانیسم‌های امنیتی است. این بدافزار از تکنیک‌های پیشرفته‌ای برای مخفی‌سازی خود استفاده می‌کند:

🔹 اجرای پِی‌لودهای مبتنی بر PowerShell برای پایداری در سیستم آلوده
🔹 بهره‌گیری از روش‌های رمزگذاری و کدگذاری قوی RC4 )و (Base64برای پنهان‌سازی عملیات مخرب
🔹 استفاده از تزریق کد به فرآیندهای در حال اجرا برای کنترل مخفیانه سیستم
🔹 اجرای افزونه‌های DLL و شِل‌کُد برای انجام عملیات مخرب متنوع

نقش Ragnar Loader در حملات باج‌افزاری

این بدافزار به‌عنوان یک بسته آرشیوی به مهاجمان اجاره داده می‌شود و شامل ابزارهایی برای اجرای دستورات از راه دور، افزایش سطح دسترسی، و کنترل دسکتاپ قربانی است.

یکی از قابلیت‌های کلیدی Ragnar Loader، امکان برقراری ارتباط با سرورهای فرماندهی (C2) مهاجمین است که به آنها اجازه می‌دهد تا کنترل کاملی بر سیستم آلوده داشته باشند. این ارتباط به مهاجمان امکان می‌دهد که:

✅ دستورات دلخواه را روی سیستم اجرا کنند
✅ فایل‌های حساس را خوانده و سرقت کنند
✅ در شبکه قربانی گسترش پیدا کنند (Lateral Movement)

نسخه لینوکسی Ragnar Loader

جالب است بدانید که نسخه‌ای از این بدافزار برای سیستم‌های لینوکس نیز طراحی شده است. این نسخه شامل یک فایل اجرایی  ELF با نام "bc" است که امکان اتصال از راه دور و اجرای دستورات خط فرمان را فراهم می‌کند.

شرکت PRODAFT اعلام کرده که "bc" شباهت زیادی به ماژول‌های BackConnect در بدافزارهای QakBot و IcedID دارد. این ماژول‌ها به‌طور خاص برای نفوذ به شبکه‌های ایزوله سازمانی طراحی شده‌اند و نشان‌دهنده پیچیدگی فزاینده عملیات باج‌افزارها هستند.

چگونه از تهدیداتی همچون Ragnar Loader جلوگیری کنیم؟

برای مقابله با تهدیداتی مانند Ragnar Loader، سازمان‌ها باید لایه‌های دفاعی چندگانه را به کار بگیرند. استفاده از سیستم‌های تشخیص و جلوگیری از نفوذ (IDS/IPS) مانند Snort و Suricata می‌تواند فعالیت‌های مشکوک را شناسایی کند. همچنین، راهکارهای EDR (Endpoint Detection & Response)می‌توانند حملات را در لحظه تشخیص داده و خنثی کنند. اجرای سیاست‌های سختگیرانه کنترل دسترسی (Zero Trust)، بستن پورت‌های غیرضروری، و استفاده از سیستم‌های تحلیل ترافیک شبکه (NTA) مانند Darktrace نیز می‌توانند مانع از گسترش بدافزار در محیط سازمان شوند. علاوه بر این، محدود کردن اجرای PowerShell و نظارت بر رویدادهای مشکوک در لاگ‌های سیستم می‌تواند راهکار مؤثری در پیشگیری از نفوذ باشد.

جمع‌بندی| افزایش پیچیدگی تهدیدات سایبری

Ragnar Loader نمونه‌ای از تکامل دنیای بدافزارها و ابزارهای نفوذ مدرن است. این بدافزار نه‌تنها به حملات باج‌افزاری قدرت می‌بخشد، بلکه به مهاجمان اجازه می‌دهد دسترسی‌های طولانی‌مدت و مخفیانه در سیستم‌های آلوده داشته باشند.

با توجه به ویژگی‌های ضدتحلیل، تکنیک‌های رمزگذاری پیچیده، و قابلیت‌های گسترش در شبکه‌های سازمانی، این ابزار تهدیدی جدی برای شرکت‌ها و نهادهای دولتی به شمار می‌رود.

به سازمان‌ها و مدیران امنیت شبکه توصیه می‌شود که مکانیزم‌های دفاعی خود را به‌روز کرده و از روش‌های پیشرفته شناسایی و مانیتورینگ برای مقابله با این تهدیدات استفاده کنند.

برای به‌روز ماندن در اخبار امنیت شبکه و شناسایی تهدیدهای جدید، ما را دنبال کنید.