Ragnarok Ransom Gang ferme sa boutique, un décrypteur gratuit est sorti
La même page Web était auparavant utilisée par les cybercriminels de Ragnarok pour publier des informations exfiltrées de victimes qui refusaient de jouer le jeu et de céder aux menaces de double extorsion.
La petite suite de fichiers de décryptage est livrée avec des instructions très simples sur le site Web du gang Ragnarok. Les victimes sont censées coller leur identifiant d'appareil dans un fichier texte brut, puis exécuter deux exécutables consécutifs, l'un appelé "decode_deviceID.exe" et l'autre - "decrypt.exe".
Selon les rapports, la boîte à outils de décryptage fournie par Ragnarok a déjà été testée par un certain nombre de chercheurs en sécurité et il est confirmé qu'elle fonctionne comme prévu sur les fichiers brouillés par le ransomware Ragnarok/Ragnar Locker. En plus de cela, la boîte à outils de décryptage est examinée en détail et rétro-conçue par des experts. L'objectif est de produire une version officielle et potentiellement plus sûre du décrypteur qui puisse être officiellement distribuée via le portail international Europol dédié à la lutte contre les ransomwares et à l'aide aux victimes de ransomwares dans le monde entier.
Le gang des ransomwares Ragnarok est apparu sur le radar des chercheurs en sécurité au cours du second semestre 2019 et est devenu plus actif en 2020. Comme tant d' autres acteurs de la menace des ransomwares ces dernières années, Ragnarok a commencé à exfiltrer les fichiers des réseaux compromis avant de les chiffrer. C'est devenu une tactique de double extorsion largement utilisée, menaçant de divulguer des informations et des fichiers sensibles en ligne si la rançon n'est pas payée, en tant qu'attaque supplémentaire en plus du cryptage.
Le ransomware Ragnarok a été utilisé dans des attaques exploitant une vulnérabilité zero-day du pare-feu et ciblant les passerelles Citrix ADC. La vulnérabilité se trouvait dans un produit Sophos et, heureusement, les équipes Sophos ont réussi à empêcher la charge utile de chiffrement réelle du ransomware de détruire les systèmes de leurs clients, même si les pirates ont initialement réussi à utiliser le jour zéro.
Il semble y avoir une tendance continue parmi les acteurs de la menace des ransomwares à se retirer discrètement du paysage numérique et à passer discrètement à l'arrière-plan. Rien qu'au cours de l'été 2021, deux autres gangs de ransomware connus sous les alias de SynAck et Avaddon ont également fait leurs valises et publié gratuitement leurs principaux outils de décryptage.
En supposant que deux autres énormes acteurs de la menace des ransomwares - DarkSide et REvil ont également vraiment fermé leurs opérations et ne sont pas en train de renommer et de se réorganiser discrètement sous un nouveau nom. C'est une excellente nouvelle pour tout le monde et cela pourrait indiquer que des forces peuvent être à l'œuvre, resserrant suffisamment l'emprise légale autour du cou des équipes de ransomware pour les effrayer et les pousser à fermer définitivement boutique.