Ragnarok Ransom Gang lukker butikken, gratis Decryptor frigivet

Den samme webside blev tidligere brugt af Ragnarok -cyberkriminelle til at offentliggøre oplysninger, der var eksfiltreret fra ofre, der nægtede at spille med og give efter for truslerne om dobbelt afpresning.

Den lille decryptor-fil-suite leveres med meget enkle instruktioner på Ragnarok-bendes websted. Ofre formodes at indsætte deres enheds -id i en almindelig tekstfil og derefter køre to på hinanden følgende eksekverbare filer, den ene kaldet 'decode_deviceID.exe' og den anden - 'decrypt.exe'.

Ifølge rapporter er dekrypteringsværktøjssættet fra Ragnarok allerede blevet testet af en række forskellige sikkerhedsforskere og bekræftes at fungere efter hensigten på filer, der er krypteret af Ragnarok/Ragnar Locker ransomware. Ud over dette bliver dekrypteringsværktøjssættet undersøgt detaljeret og omvendt konstrueret af eksperter. Målet er at producere en officiel, potentielt sikrere version af dekrypteren, som officielt kan distribueres via den internationale Europol -portal dedikeret til bekæmpelse af ransomware og hjælp til ransomwareofre verden over.

Ragnarok -ransomware -banden dukker op på sikkerhedsforskernes radar i anden halvdel af 2019 og blev mere aktiv i 2020. Ligesom så mange andre ransomware -trusselsaktører i de seneste år begyndte Ragnarok at eksfiltrere filer fra kompromitterede netværk, før de krypterede dem. Dette er blevet en meget udbredt dobbelt afpresningstaktik, der truer med at lække følsomme oplysninger og filer online, hvis løsesum ikke betales, som et ekstra angreb ud over krypteringen.

Ragnarok ransomware blev brugt i angreb, der udnyttede en firewall-nul-dages sårbarhed og målrettede Citrix ADC-gateways. Sårbarheden var i et Sophos-produkt, og heldigvis lykkedes det Sophos-holdene at stoppe den faktiske krypterende nyttelast for ransomware fra at ødelægge deres kunders systemer, selvom hackerne i første omgang formåede at komme ind ved hjælp af nul-dagen.

Der ser ud til at være en løbende tendens blandt ransomware -trusselsaktører til stille og roligt at trække sig tilbage fra det digitale landskab og stille og roligt falme i baggrunden. Alene i sommeren 2021 pakkede to andre ransomware -bander, kendt af aliaserne SynAck og Avaddon, også deres tasker og frigav deres master -dekrypteringsværktøjer gratis.

Forudsat at to andre enorme ransomware -trusselsaktører - DarkSide og REvil også virkelig lukker deres drift ned og ikke stille og roligt rebranding og reorganiserer under et nyt navn. Dette er gode nyheder for alle og kan indikere, at kræfter kan være på arbejde, hvilket strammer det juridiske greb om halsen på ransomware -besætninger nok til at skræmme dem til at lukke butikken for godt.