Ragnarok Ransom Gang Closes Up Shop, Free Decryptor Released

Samma webbsida användes tidigare av Ragnaroks cyberbrottslingar för att publicera information som exfiltrerats från offer som vägrade spela med och ge efter för hoten om dubbel utpressning.

Den lilla dekrypteringsfil-sviten kommer med mycket enkla instruktioner på Ragnarok-gängets webbplats. Offer ska klistra in sitt enhets -ID i en vanlig textfil och sedan köra två på varandra följande körbara filer, en som heter 'decode_deviceID.exe' och den andra - 'decrypt.exe'.

Enligt rapporter har dekrypteringsverktygssatsen från Ragnarok redan testats av ett antal olika säkerhetsforskare och bekräftas fungera som avsett på filer som krypterats av Ragnarok/Ragnar Locker ransomware. Utöver detta undersöks dekrypteringsverktygssatsen i detalj och omvandlas av experter. Målet är att producera en officiell, potentiellt säkrare version av dekrypteraren som officiellt kan distribueras via den internationella Europol -portalen för att bekämpa ransomware och hjälpa ransomware -offer världen över.

Ragnarok -ransomware -gänget dyker upp på säkerhetsforskarnas radar under andra halvåret 2019 och blev mer aktiv 2020. Liksom så många andra ransomware -hotaktörer under de senaste åren började Ragnarok exfiltrera filer från komprometterade nätverk innan de krypterade dem. Detta har blivit en vanligt förekommande dubbel utpressningstaktik som hotar att läcka ut känslig information och filer online om lösen inte betalas, som en extra attack utöver krypteringen.

Ragnarok-ransomware användes i attacker som utnyttjade en brandväggs noll-dagars sårbarhet och riktade in sig på Citrix ADC-gateways. Sårbarheten fanns i en Sophos-produkt, och tack och lov lyckades Sophos-teamen stoppa den faktiska krypteringslasten för ransomware från att förstöra deras kunders system, även om hackarna från början lyckades komma in med noll-dagen.

Det verkar finnas en pågående trend bland hotaktörer för ransomware att tyst dra sig ur det digitala landskapet och tyst försvinna i bakgrunden. Bara sommaren 2021 packade två andra ransomware -gäng som är kända av aliasen SynAck och Avaddon också sina väskor och släppte sina master -dekrypteringsverktyg gratis.

Förutsatt att två andra enorma ransomware hotaktörer - DarkSide och REvil också verkligen stänger av sin verksamhet och inte tyst rebranding och omorganisera under ett nytt namn. Detta är goda nyheter för alla och kan tyda på att krafter kan vara i arbete, vilket skärper det rättsliga greppet runt ransomware -besättningar nog för att skrämma dem till att stänga butiken för gott.