Ragnarok Ransom Gang schließt Laden, kostenloser Decryptor veröffentlicht

Dieselbe Webseite wurde zuvor von den Cyberkriminellen von Ragnarok verwendet, um Informationen zu veröffentlichen, die von Opfern exfiltriert wurden, die sich weigerten, mitzuspielen und den Drohungen doppelter Erpressung nachzugeben.

Die kleine Entschlüsselungsdatei-Suite wird mit sehr einfachen Anweisungen auf der Ragnarok-Gang-Website geliefert. Opfer sollen ihre Geräte-ID in eine Klartextdatei einfügen und dann zwei aufeinanderfolgende ausführbare Dateien ausführen, eine namens „decode_deviceID.exe" und die andere – „decrypt.exe".

Berichten zufolge wurde das von Ragnarok bereitgestellte Entschlüsselungs-Toolkit bereits von einer Reihe verschiedener Sicherheitsforscher getestet und es wurde bestätigt, dass es bei Dateien, die von Ragnarok / Ragnar Locker Ransomware verschlüsselt wurden, wie beabsichtigt funktioniert. Darüber hinaus wird das Entschlüsselungs-Toolkit von Experten eingehend untersucht und rückentwickelt. Ziel ist es, eine offizielle, potenziell sicherere Version des Entschlüsselers zu erstellen, die offiziell über das internationale Europol-Portal verteilt werden kann, das sich der Bekämpfung von Ransomware und der weltweiten Unterstützung von Ransomware-Opfern widmet.

Die Ragnarok-Ransomware-Gang tauchte in der zweiten Jahreshälfte 2019 auf dem Radar der Sicherheitsforscher auf und wurde im Jahr 2020 aktiver. Wie so viele andere Ransomware-Bedrohungsakteure in den letzten Jahren begann Ragnarok, Dateien aus kompromittierten Netzwerken zu extrahieren, bevor sie verschlüsselt wurden. Dies ist zu einer weit verbreiteten Taktik der doppelten Erpressung geworden, bei der sensible Informationen und Dateien online preisgegeben werden, wenn kein Lösegeld gezahlt wird, als zusätzlicher Angriff zusätzlich zur Verschlüsselung.

Die Ragnarok-Ransomware wurde bei Angriffen verwendet, die eine Zero-Day-Sicherheitslücke in einer Firewall ausnutzen und auf Citrix ADC-Gateways abzielen. Die Schwachstelle befand sich in einem Sophos-Produkt, und glücklicherweise gelang es den Sophos-Teams, die eigentliche Verschlüsselungs-Payload der Ransomware daran zu hindern, die Systeme ihrer Kunden zu zerstören, selbst wenn es den Hackern zunächst gelang, den Zero-Day zu nutzen.

Es scheint einen anhaltenden Trend unter Ransomware- Bedrohungsakteuren zu geben, sich leise aus der digitalen Landschaft zurückzuziehen und leise in den Hintergrund zu treten. Allein im Sommer 2021 packten zwei weitere Ransomware-Gangs, bekannt unter den Pseudonymen SynAck und Avaddon, ebenfalls ihre Koffer und veröffentlichten ihre Master-Entschlüsselungstools kostenlos.

Angenommen, zwei andere große Ransomware-Bedrohungsakteure - DarkSide und REvil haben ihren Betrieb ebenfalls wirklich eingestellt und werden nicht stillschweigend umbenannt und unter einem neuen Namen neu organisiert. Dies sind großartige Neuigkeiten für alle und könnten darauf hindeuten, dass möglicherweise Kräfte am Werk sind, die den rechtlichen Griff um die Hälse der Ransomware-Crews genug festigen, um sie zu erschrecken, damit sie den Laden endgültig schließen.