<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<style type="text/css" style="display:none;"> P {margin-top:0;margin-bottom:0;} </style>
</head>
<body dir="ltr">
<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">
Hello,
<div><br>
</div>
<div>I hope everyone is doing well!</div>
<div><br>
</div>
<div>Below is the entry for today.</div>
<div><br>
</div>
<div>03/09/2022 - Diary entry #466:</div>
<div><br>
</div>
<blockquote style="margin-top:0;margin-bottom:0">
<div>First covered in our Daily #15, RagnarLocker is a Ransomware group that emerged in 2020 and as up today, already published stolen data from 54 different entities on their wall-of-shame blog. The total amount of victims is likely higher since they only
 publish stolen data of companies that didn't pay the ransom.
<div><br>
</div>
<div>In a recent FBI report, RagnarLocker affected at least 52 U.S. entities across 10 critical infrastructure sectors such as energy, financial, government, information technology, and manufacturing. RagnarLocker is a financially motivated group using the
 double-extortion model. According to their Rules page, after closing a successful deal, they guarantee to delete all stolen information from their servers as well additional backdoors in the victim's infrastructure and finally, provide the decryptor and a
 list of recommendations to improve security measures.</div>
<div><br>
</div>
<div>RagnarLocker ransomware deletes all shadow copies, encrypts all targeted files with the ".RGNR_<VICTIM_UNIQUE_HASHED_ID>" extension, and drop a ransom note with instructions to negotiate with the group. Their malware samples are protected with known solutions
 such as UPX, VMProtect, or custom algorithms, to avoid detection and reverse engineering. They also deploy the malware inside a custom Windows XP virtual machine to evade security endpoints.</div>
<div><br>
</div>
The threat actors behind RagnarLocker are still unknown, but curiously they avoid executing on machines configured with languages belonging to any country from the former Soviet Union, meaning that they are possibly located in Russia like other ransomware families.
 To be protected against RagnarLocker, we recommend the same measures for any Ransomware attack: securing and maintaining regular backups, adopting a ZeroTrust architecture, isolating systems, and segmenting networks.<br>
</div>
</blockquote>
<div><br>
</div>
Kind Regards,<br>
</div>
<div>
<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">
<br>
</div>
<div id="Signature">
<div>
<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">
</div>
<div style="font-family:Calibri,Arial,Helvetica,sans-serif; font-size:12pt; color:rgb(0,0,0)">
<table style="font-size:medium; font-family:"Times New Roman"">
<tbody>
<tr>
<td style="width:180px" align="left">
<table width="120" align="left">
<tbody>
<tr>
<td colspan="3" align="center"><a href="https://www.appgate.com/" target="_blank" rel="noopener noreferrer" style="margin:0px"><img style="margin:0px" width="120" height="30" src="https://d3aafpijpsak2t.cloudfront.net/images/Signature/logo@2x.png"></a></td>
</tr>
<tr>
<td colspan="3" align="center"> </td>
</tr>
<tr>
<td width="37%" align="center"><a href="https://www.linkedin.com/company/appgate-security/" target="_blank" rel="noopener noreferrer" style="margin:0px"><img style="margin:0px" width="18" height="18" src="https://d3aafpijpsak2t.cloudfront.net/images/Signature/likedin@2x.png"></a></td>
<td width="28%"><a href="https://twitter.com/AppgateSecurity" target="_blank" rel="noopener noreferrer" style="margin:0px"><img style="margin:0px" width="20" height="18" src="https://d3aafpijpsak2t.cloudfront.net/images/Signature/twitter@2x.png"></a></td>
<td width="35%"><a href="https://www.youtube.com/channel/UC-8GvxcZbm-R3EJNl8jYjiQ" target="_blank" rel="noopener noreferrer" style="margin:0px"><img style="width: 26px; height: 18px; max-width: initial;" width="26" height="18" src="https://d3aafpijpsak2t.cloudfront.net/images/Signature/youtube@2x.png"></a></td>
</tr>
</tbody>
</table>
<p style="margin-top:0px; margin-bottom:0px"> </p>
</td>
<td colspan="2" rowspan="2" style="width:350px">
<p style="color:rgb(12,12,12); font-size:13px; font-family:Arial,Helvetica,sans-serif; margin-top:0px; margin-bottom:0px">
<strong>Felipe Tarijon de Almeida</strong><br>
Malware Analyst<br>
<strong>Appgate</strong></p>
<p style="color:rgb(12,12,12); font-size:13px; font-family:Arial,Helvetica,sans-serif; margin-top:0px; margin-bottom:0px">
E:<span style="margin:0px"> <a href="mailto:felipe.tarijon@appgate.com" title="mailto:felipe.tarijon@appgate.com">
felipe.tarijon@appgate.com</a></span><br>
C:<span> </span><span style="margin:0px; background-color:white">+55 11 97467 9549</span></p>
</td>
</tr>
</tbody>
</table>
<br>
</div>
</div>
</div>
</div>
</body>
</html>