O grupo cibercriminoso, ativo desde o final de 2019, fechou suas portas e lançou a chave para desbloquear os arquivos das vítimas em seu portal dark web.
Por Elizabeth Montalbano | Threatpost
Outra gangue cibercriminosa famosa por ataques de ransomware foi encerrada, publicando seu descriptografador online para permitir que as vítimas desbloqueiem e recuperem arquivos.
A gangue Ragnarok, também conhecida como Asnarok, fechou as portas esta semana, publicando a notícia em seu site público, de acordo com um post publicado na quinta-feira pela empresa de análises Recorded Future’s The Record, entre outras fontes.
Como um “presente” de despedida, o grupo lançou seu descriptografador, codificado com uma chave mestra de descriptografia, gratuitamente também no portal.
Anteriormente, o site era principalmente o local onde o Ragnarok publicava dados das vítimas que se recusavam a pagar o resgate. “Ragnarok agora se torna o terceiro grupo de ransomware que fecha e libera uma maneira para as vítimas recuperarem arquivos gratuitamente neste verão, depois de nomes como o Avaddon em junho e o SynAck no início deste mês”, de acordo com o The Record.
Vários pesquisadores de segurança confirmaram que o descriptografador Ragnarok funciona, de acordo com o post. Atualmente está sendo analisado e os pesquisadores irão eventualmente lançar uma versão limpa que é segura para uso no portal NoMoreRansom da Europol .
Ladrões de dados
Ragnarok, ativo desde o final de 2019, foi visto em abril em um ataque à linha de roupas masculinas de luxo italiana Boggi Milano. A gangue filtrou 40 gigabytes de dados da casa de moda, incluindo recursos humanos e detalhes salariais.
O modus operandi típico de Ragnarok era usar exploits para violar a rede e os dispositivos de perímetro de uma empresa-alvo. A partir daí, ele funcionaria na rede interna para criptografar os servidores e estações de trabalho de uma organização.
O Ragnarok também era um dos vários grupos de ransomware que não apenas criptografavam, mas também roubavam arquivos para ameaçar vazá-los em seu portal para pressionar as vítimas a pagar os resgates exigidos e, em seguida, compensar a ameaça se os atores da ameaça não o fizessem não receba seu dinheiro dentro de um prazo determinado.
Visar os gateways Citrix ADC era uma especialidade do grupo, que também estava por trás da campanha que explorava Zero Day nos firewalls Sophos XG , de acordo com o post.
“Enquanto a exploração de Zero Day funcionava e permitia que a gangue fizesse backdoor em firewalls XG em todo o mundo, a Sophos detectou o ataque a tempo de evitar que o grupo implantasse sua carga útil de criptografia de arquivos”, de acordo com o Record.
Gangues de ransomware caindo como moscas
A gangue é o mais recente grupo de ransomware a interromper as operações, em parte devido às crescentes pressões e repressões de autoridades internacionais que já levaram alguns jogadores importantes a cessar suas atividades.
Além de Avaddon e SyNack, dois pesos pesados do jogo – REvil e DarkSide – também fecharam as portas recentemente.
Outros grupos de ransomware estão sentindo a pressão de outras maneiras. Um afiliado aparentemente vingativo da Gangue Conti vazou recentemente o manual do grupo de ransomware depois de alegar que a notória organização cibercriminosa pagou mal por fazer seu trabalho sujo.
No entanto, mesmo que alguns grupos de ransomware estejam suspendendo o processo, novos grupos de ameaças que podem ou não ter surgido das categorias anteriores dessas organizações estão surgindo para preencher as lacunas que deixaram.
Haron e BlackMatter estão entre aqueles que surgiram recentemente com a intenção de usar ransomware para atingir grandes organizações que podem pagar resgates de milhões de dólares para encher seus bolsos.
Na verdade, alguns pensam que a saída de Ragnarok do campo também não é permanente, e que o grupo irá ressurgir em uma nova encarnação em algum ponto.
“Embora eu tenha certeza de que é apenas temporário, é bom ver outra vitória”, tuitou Allan Liska , da Equipe de Resposta a Incidentes de Segurança de Computadores da Recorded Future, sobre o fechamento do grupo.
Fonte: Threatpost.
Contribua com sugestões de tradução nos comentários.
Researchers Warn of 4 Emerging Ransomware Groups That Can Cause Havoc
Ser vítima não é o mesmo que ser incompetente, pense nisso ao lidar com ransomware
Série de estudos detalha ataques recentes da ciberespionagem Chinesa – Por Carlos Cabral