A Gangue Ragnarok Ransom Fechou Sua Loja e Lançou um Decodificador Gratuito

A mesma página da Web foi usada anteriormente pelos criminosos cibernéticos Ragnarok para publicar informações exfiltradas das vítimas que se recusaram a jogar junto e ceder às ameaças de extorsão dupla.

O pequeno conjunto de arquivos decodificadores vem com instruções muito simples no site da gangue Ragnarok. As vítimas devem colar o ID do dispositivo em um arquivo de texto simples e, em seguida, executar dois executáveis consecutivos, um chamado 'decode_deviceID.exe' e o outro - 'decrypt.exe'.

De acordo com relatos, o kit de ferramentas de descriptografia fornecido pelo Ragnarok já foi testado por vários pesquisadores de segurança diferentes e está confirmado para funcionar como pretendido em arquivos codificados pelo Ragnarok/Ragnar Locker Ransomware. Além disso, o kit de ferramentas de descriptografia está sendo examinado em detalhes e submetido a engenharia reversa por especialistas. O objetivo é produzir uma versão oficial e potencialmente mais segura do descriptografador, que pode ser distribuída oficialmente por meio do portal internacional da Europol dedicado a combater o ransomware e ajudar as vítimas de ransomware em todo o mundo.

A gangue do Ragnarok Ransomware apareceu no radar dos pesquisadores de segurança no segundo semestre de 2019 e se tornou mais ativa em 2020. Como tantos outros agentes de ameaças de ransomware nos últimos anos, o Ragnarok começou a exfiltrar arquivos de redes comprometidas antes de criptografá-los. Isso se tornou uma tática de extorsão dupla amplamente usada, ameaçando vazar informações confidenciais e arquivos online se o resgate não for pago, como um ataque adicional além da criptografia.

O Ragnarok Ransomware foi usado em ataques que exploram uma vulnerabilidade de dia zero do firewall e têm como alvo os gateways Citrix ADC. A vulnerabilidade estava em um produto Sophos e, felizmente, as equipes da Sophos conseguiram impedir que a carga útil de criptografia real do ransomware destruísse os sistemas de seus clientes, mesmo que os hackers inicialmente conseguissem entrar usando o dia zero.

Parece haver uma tendência contínua entre os agentes de ameaças de ransomware de se retirarem silenciosamente do cenário digital e desaparecerem silenciosamente em segundo plano. Só no verão de 2021, duas outras gangues de ransomware conhecidas pelos pseudônimos de SynAck e Avaddon também fizeram as malas e lançaram suas ferramentas mestras de descriptografia gratuitamente.

Supondo que dois outros grandes agentes de ameaça de ransomware - DarkSide e REvil também encerraram suas operações e não estão silenciosamente reformulando e reorganizando sob um novo nome, esta é uma ótima notícia para todos e pode indicar que as forças podem estar trabalhando, endurecendo o legal aperto em volta do pescoço das equipes de ransomware o suficiente para assustá-los e fazê-los fechar a loja para sempre.