Ragnarok Ransom Gang zamyka sklep, udostępniono darmowy deszyfrator

Ta sama strona internetowa była wcześniej wykorzystywana przez cyberprzestępców Ragnarok do publikowania informacji wykradzionych od ofiar, które odmówiły współpracy i uległy groźbie podwójnego wymuszenia.

Mały pakiet plików deszyfrujących zawiera bardzo proste instrukcje na stronie gangu Ragnarok. Ofiary powinny wkleić swój identyfikator urządzenia do zwykłego pliku tekstowego, a następnie uruchomić dwa kolejne pliki wykonywalne, jeden o nazwie „decode_deviceID.exe", a drugi „decrypt.exe".

Według doniesień, zestaw narzędzi deszyfrujących dostarczony przez Ragnarok został już przetestowany przez wielu różnych badaczy bezpieczeństwa i potwierdzono, że działa zgodnie z przeznaczeniem na plikach zaszyfrowanych przez ransomware Ragnarok/Ragnar Locker. Ponadto zestaw narzędzi do deszyfrowania jest szczegółowo analizowany i analizowany przez ekspertów. Celem jest stworzenie oficjalnej, potencjalnie bezpieczniejszej wersji deszyfratora, która może być oficjalnie dystrybuowana za pośrednictwem międzynarodowego portalu Europolu poświęconego zwalczaniu oprogramowania ransomware i pomocy ofiarom oprogramowania ransomware na całym świecie.

Gang Ragnarok pojawił się na radarze badaczy bezpieczeństwa w drugiej połowie 2019 r. i stał się bardziej aktywny w 2020 r. Podobnie jak wielu innych cyberprzestępców zajmujących się oprogramowaniem ransomware w ostatnich latach, Ragnarok zaczął eksfiltrować pliki z zaatakowanych sieci przed ich zaszyfrowaniem. Stało się to szeroko stosowaną taktyką podwójnego wymuszenia, grożącą wyciekiem poufnych informacji i plików online, jeśli nie zostanie zapłacony okup, jako dodatkowy atak oprócz szyfrowania.

Ransomware Ragnarok zostało wykorzystane w atakach wykorzystujących lukę zero-day zapory ogniowej i wymierzonych w bramy Citrix ADC. Luka znajdowała się w produkcie Sophos i na szczęście zespołom Sophos udało się powstrzymać faktyczne szyfrowanie oprogramowania ransomware przed zniszczeniem systemów ich klientów, nawet jeśli hakerom początkowo udało się uzyskać dostęp za pomocą dnia zerowego.

Wydaje się, że istnieje tendencja wśród cyberprzestępców zajmujących się zagrożeniami ransomware, aby po cichu wycofywać się z cyfrowego krajobrazu i po cichu znikać w tle. Tylko latem 2021 r. dwa inne gangi ransomware znane pod pseudonimami SynAck i Avaddon również spakowały swoje walizki i udostępniły swoje główne narzędzia deszyfrujące za darmo.

Zakładając, że dwaj inni potężni cyberprzestępcy zajmujący się oprogramowaniem ransomware – DarkSide i REvil również naprawdę zamknęli swoje operacje i nie zmieniają po cichu i nie organizują się pod nową nazwą. To świetna wiadomość dla wszystkich i może wskazywać, że siły mogą działać, zacieśniając prawny uścisk na karkach ekip zajmujących się oprogramowaniem ransomware na tyle, by przestraszyć ich, by zamknęli sklep na dobre.