Ragnarok Ransom Gang chiude il negozio, rilasciato Decryptor gratuito

La stessa pagina web è stata precedentemente utilizzata dai criminali informatici Ragnarok per pubblicare informazioni esfiltrate dalle vittime che si sono rifiutate di stare al gioco e di cedere alle minacce di doppia estorsione.

La piccola suite di file decryptor viene fornita con istruzioni molto semplici sul sito Web della banda Ragnarok. Le vittime dovrebbero incollare il loro ID dispositivo in un file di testo normale, quindi eseguire due eseguibili consecutivi, uno chiamato "decode_deviceID.exe" e l'altro - "decrypt.exe".

Secondo i rapporti, il toolkit di decrittazione fornito da Ragnarok è già stato testato da diversi ricercatori di sicurezza ed è confermato che funziona come previsto sui file criptati dal ransomware Ragnarok/Ragnar Locker. Oltre a ciò, il toolkit di decrittazione viene esaminato in dettaglio e decodificato da esperti. L'obiettivo è produrre una versione ufficiale, potenzialmente più sicura del decryptor che possa essere distribuita ufficialmente attraverso il portale internazionale Europol dedicato alla lotta al ransomware e all'aiuto alle vittime di ransomware in tutto il mondo.

La banda del ransomware Ragnarok è apparsa sul radar dei ricercatori di sicurezza nella seconda metà del 2019 ed è diventata più attiva nel 2020. Come tanti altri attori di minacce ransomware negli ultimi anni, Ragnarok ha iniziato a esfiltrare i file dalle reti compromesse prima di crittografarli. Questa è diventata una tattica di doppia estorsione ampiamente utilizzata, che minaccia di divulgare informazioni e file sensibili online se non viene pagato il riscatto, come attacco aggiuntivo oltre alla crittografia.

Il ransomware Ragnarok è stato utilizzato in attacchi che sfruttano una vulnerabilità zero-day del firewall e prendono di mira i gateway Citrix ADC. La vulnerabilità era in un prodotto Sophos e, fortunatamente, i team di Sophos sono riusciti a impedire all'effettivo payload di crittografia del ransomware di distruggere i sistemi dei loro clienti, anche se inizialmente gli hacker sono riusciti a entrare utilizzando lo zero-day.

Sembra esserci una tendenza in corso tra gli attori delle minacce ransomware a ritirarsi silenziosamente dal panorama digitale e svanire silenziosamente in secondo piano. Nella sola estate del 2021, anche altre due bande di ransomware conosciute con gli alias di SynAck e Avaddon hanno fatto le valigie e rilasciato gratuitamente i loro strumenti di decrittazione principali.

Supponendo che altri due enormi attori di minacce ransomware - DarkSide e REvil abbiano davvero chiuso le loro operazioni e non stiano silenziosamente rebranding e riorganizzando con un nuovo nome. Questa è un'ottima notizia per tutti e potrebbe indicare che le forze potrebbero essere al lavoro, stringendo la presa legale attorno al collo delle squadre di ransomware abbastanza da spaventarli e costringerli a chiudere definitivamente il negozio.