This post is also available in: Português
O grupo de ransomware Ragnarok, que desde 2019 ganhou notoriedade após lançar ataques contra servidores Citrix, encerrou suas atividades e liberou, gratuitamente, a chave que pode descriptografar arquivos bloqueados com seu malware.
As vezes chamado de Asnarok, o grupo substituiu todas as 12 vítimas listadas em seu portal da dark web por uma breve instrução sobre como descriptografar arquivos. Isso foi acompanhado pelo lançamento de um descriptografador, que os especialistas da Emsisoft confirmaram conter a chave mestre de descriptografia.
A empresa de segurança, conhecida por ajudar as vítimas de ransomware com a descriptografia de dados, também lançou um descriptografador universal para o ransomware Ragnarok.
O grupo solicitou resgate de dezenas de vítimas após explorar uma vulnerabilidade do Citrix ADC, que permitia a localização de computadores Windows, que são vulneráveis à vulnerabilidade EternalBlue (a mesma vulnerabilidade por trás do ataque WannaCry) e acumulou mais de U$ 4,5 milhões em pagamentos de resgate, de acordo com o Rastreador de pagamentos Ransomwhe.re.
Em abril de 2020, os cibercriminosos roubaram 10 TB de dados pertencentes à gigante energética portuguesa EDP e ameaçaram vazá-los se um resgate de U$ 10,9 milhões não fosse pago. O grupo também passou a exfiltrar até 2 TB de dados, incluindo extratos bancários, registros de funcionários e acordos com celebridades, dos servidores do gigante italiano de bebidas Campari Group, e exigiu a entrega de U$ 15 milhões em resgate.
Em novembro, eles atacaram a Capcom, roubando dados pessoais de 390 mil clientes, parceiros de negócios e outras partes externas dos sistemas da empresa.
Sem uma nota de saída formal, não está claro por que Ragnarok aparentemente decidiu encerrar o jogo. Mas outras gangues ransomware adotaram uma tática de autodestruição semelhante em face da pressão crescente do governo do EUA, que no início deste ano classificou o ransomware como uma ameaça à segurança nacional.
REvil, o grupo por trás do ataque a JBS, desapareceu misteriosamente da internet. O DarkSide, responsável pelo ataque ao Oleoduto Colonial, também anunciou que estava se aposentando.
Outros grupos de ransomware, incluindo Ziggy Avaddon, SynAck e Fonix, também se aposentaram dos ataques este ano, cada um dando suas chaves para ajudar as vítimas a se recuperarem de seus ataques.
Cuidado! O grupo pode voltar com outro nome
Ainda não se sabe se o desaparecimento do Ragnarok é permanente ou se simplesmente mudará de nome.
Antes de encerrar suas atividades, o grupo mudou a parte visual de seu site e passou a se identificar com a marca “Daytona by Ragnarok”.
Especialistas em segurança estão analisando a chave de descriptografia divulgada pelo grupo e já confirmaram que ela realmente consegue desbloquear os sistemas afetados. A expectativa é que uma versão segura do software será liberada em breve no portal NoMoreRansom, mantido pela Europol.
O encerramento súbito das atividades do grupo não significa necessariamente que seus membros desistiram de praticar crimes virtuais.
Assim como aconteceu com outros grupos, a ação pode ser somente uma forma de despistar investigações e apagar traços e existe grandes possibilidades de que a Ragnarok volte a operar no futuro usando identidades e ferramentas novas.
Fonte: BleepingComputer.
This post is also available in: Português
