Un autre gang de cybercriminels connu pour ses attaques de ransomware a fermé ses portes, publiant son décrypteur en ligne pour permettre aux victimes de déverrouiller et de récupérer des fichiers.

Le gang Ragnarok, également connu sous le nom d’Asnarok, a fermé ses portes cette semaine, publiant la nouvelle sur son site Web public, selon un article publié jeudi par le cabinet d’analystes Recorded Future’s The Record, entre autres sources.

En guise de «cadeau» d’adieu, le groupe a également publié gratuitement son décrypteur, codé en dur avec une clé de décryptage principale, sur le portail. Auparavant, le site était principalement l’endroit où Ragnarok publiait les données des victimes qui refusaient de payer une rançon.

« Ragnarok devient maintenant le troisième groupe de ransomware qui ferme et libère un moyen pour les victimes de récupérer des fichiers gratuitement cet été, après Avaddon en juin et SynAck plus tôt ce mois-ci », selon The Record.

Plusieurs chercheurs en sécurité ont confirmé que le décrypteur Ragnarok fonctionne, selon le message. Il est actuellement en cours d’analyse et les chercheurs publieront éventuellement une version propre et sûre à utiliser sur le portail NoMoreRansom d’Europol.

Voleurs de données

Ragnarok, actif depuis fin 2019, a été aperçu en avril lors d’une attaque contre la ligne italienne de vêtements de luxe pour hommes Boggi Milano. Le gang a filtré 40 gigaoctets de données de la maison de couture, y compris les ressources humaines et les détails des salaires.

Le modus operandi typique de Ragnarok consistait à utiliser des exploits pour violer le réseau et les périphériques d’une entreprise cible. À partir de là, il fonctionnerait à partir du réseau interne pour crypter les serveurs et les postes de travail d’une organisation.

Ragnarok était également l’un des nombreux groupes de rançongiciels qui non seulement cryptaient mais volaient également des fichiers afin de menacer de les divulguer sur son portail pour faire pression sur les victimes pour qu’elles paient les rançons demandées, puis mettre fin à la menace si les acteurs de la menace ne le faisaient pas. ne reçoivent pas leur argent avant une date limite fixée.

Le ciblage des passerelles Citrix ADC était une spécialité du groupe, qui était également à l’origine de la campagne qui exploitait un jour zéro dans les pare-feu Sophos XG, selon le post.

« Alors que l’exploit zero-day a fonctionné et a permis au gang de dérober des pare-feu XG à travers le monde, Sophos a repéré l’attaque à temps pour empêcher le groupe de déployer sa charge utile de cryptage de fichiers », selon le Record.

Les gangs de ransomware tombent comme des mouches

Le gang est le dernier groupe de ransomware à fermer ses opérations, en partie à cause des pressions croissantes et de la répression des autorités internationales qui ont déjà conduit certains acteurs clés à cesser leurs activités. En plus d’Avaddon et de SyNack, deux poids lourds du jeu – REvil et DarkSide – ont également fermé boutique récemment.

D’autres groupes de ransomware ressentent la pression d’autres manières. Un affilié apparemment vengeur du Conti Gang a récemment divulgué le livre de jeu du groupe de ransomware après avoir allégué que la célèbre organisation cybercriminelle l’avait sous-payé pour avoir fait son sale boulot.

Cependant, alors même que certains groupes de rançongiciels raccrochent, de nouveaux groupes de menaces qui peuvent ou non être issus des rangs précédents de ces organisations se glissent pour combler les lacunes qu’ils ont laissées.

Haron et BlackMatter font partie de ceux qui ont récemment émergé avec l’intention d’utiliser des ransomwares pour cibler les grandes organisations qui peuvent payer des rançons d’un million de dollars pour se remplir les poches.

En effet, certains pensent que la sortie de Ragnarok du terrain n’est pas non plus permanente, et que le groupe refait surface dans une nouvelle incarnation à un moment donné.

« Même si je suis sûr que ce n’est que temporaire, c’est agréable de voir une autre victoire », a tweeté Allan Liska, de l’équipe de réponse aux incidents de sécurité informatique de Recorded Future, à propos de la fermeture du groupe.

CyberDefence.ma

LEAVE A REPLY

Please enter your comment!
Please enter your name here