Recientes investigaciones de PRODAFT han revelado que grupos cibercriminales como FIN7, FIN8, Ragnar Locker (también conocido como Monstrous Mantis) y Ruthless Mantis (ex-REvil) continúan utilizando Ragnar Loader como una herramienta clave para mantener el acceso persistente en redes comprometidas.
Este kit de herramientas de malware se ha convertido en un componente esencial en campañas de ransomware actuales, evolucionando con nuevas capacidades de evasión y resistencia operativa.
Aunque Ragnar Loader fue documentado por primera vez en 2021 por Bitdefender en un intento fallido de ataque de FIN8, su uso no solo ha persistido hasta hoy, sino que ha incorporado métodos más avanzados de ocultamiento y control. En julio de 2023, Symantec reveló una versión actualizada utilizada para desplegar ransomware como BlackCat, y los hallazgos recientes confirman que sigue siendo un vector activo de intrusión en 2024.
Características Avanzadas de Ragnar Loader
Según los expertos, Ragnar Loader destaca por su capacidad para ocultarse en el sistema, resistir intentos de eliminación y proporcionar acceso remoto a actores malintencionados. Su evolución constante ha convertido a este malware en un elemento crítico dentro del ecosistema de ransomware.
Uso de PowerShell: Se ejecuta a través de cargas útiles basadas en PowerShell, lo que le permite operar sin archivos visibles y evitar detecciones basadas en firmas.
Evasión de Detección: Incorpora técnicas como RC4 y Base64 para cifrar su tráfico, además de implementar estrategias de inyección de procesos y manipulación de tokens.
Acceso Remoto y Persistencia: Permite a los atacantes establecer y mantener control sobre los sistemas infectados mediante un panel de comando y control (C2).
Movimiento Lateral: Emplea herramientas dinámicas de PowerShell para expandirse dentro de la red comprometida, aumentando su alcance.
Soporte Multiplataforma: Incluye un archivo ELF para Linux llamado "bc", que actúa como un canal de conexión remota similar a BackConnect, utilizado en otras amenazas como QakBot e IcedID.
Uso Activo en Campañas Recientes
Investigaciones actuales de PRODAFT confirman que Ragnar Loader está siendo utilizado activamente en 2024 en operaciones de ransomware dirigidas contra empresas, infraestructura crítica y el sector financiero. Aunque su origen está vinculado a Ragnar Locker, los expertos indican que su desarrollo es modular y puede estar siendo alquilado a otros grupos criminales.
"Este malware no solo ha mantenido su relevancia desde su primera detección, sino que sus desarrolladores continúan agregando nuevas capacidades que lo hacen más difícil de detectar y eliminar", señaló PRODAFT en un informe reciente.
El uso de técnicas avanzadas de ofuscación y cifrado, junto con su capacidad de persistencia a largo plazo, lo convierte en una amenaza crítica para las organizaciones.
Medidas de Mitigación y Recomendaciones
Para enfrentar la amenaza de Ragnar Loader y sus variantes actuales, los equipos de seguridad deben implementar estrategias de defensa proactiva:
Monitoreo de PowerShell y tráfico cifrado: Identificar comandos sospechosos y cargas encriptadas puede ayudar a detectar su presencia en una red.
Segmentación de red: Limitar la propagación de la amenaza restringiendo la comunicación entre sistemas críticos.
EDR/XDR con detección de comportamiento: Ragnar Loader evade firmas tradicionales, por lo que es clave contar con herramientas que analicen comportamientos anómalos.
Reglas de detección en SIEM: Implementar alertas específicas en plataformas como LevelBlue Anywhere para detectar patrones de ejecución de PowerShell y tráfico malicioso.
REFERENCIAS:
https://thehackernews.com/2025/03/fin7-fin8-and-others-use-ragnar-loader.html
https://gbhackers.com/ragnar-loader-used-by-multiple-ransomware-groups/