La cyber gang ransomware Ragnarok si è ritirata. il decryptor è ora online.

Redazione RHC : 28 Agosto 2021 21:14

Gli operatori del ransomware Ragnarok (alias Asnarök) hanno annunciato la cessazione di tutte le loro illecite operazioni e hanno rilasciato un’utilità gratuita per la decrittazione dei file.

I ricercatori hanno notato la cessazione delle attività del gruppo sul sito ufficiale Ragnarok nelle darknet. Il fatto è che il sito dei criminali ha perso improvvisamente tutti gli elementi visivi e le informazioni su tutte le vittime del ransomware è stato un fatto che subito ha destato sospetti, oltre al fatto che sono state sostituite con una breve istruzione su come decifrare i file.

Immagine del sito nelle darknet della cyber gang

Viene allegato un collegamento all’archivio contenente la chiave master e i relativi binari. Gli hacker non hanno detto cosa ha causato esattamente la chiusura inaspettata di tutte le operazioni, ma probabilmente si saranno ritirati dopo aver incassato ingenti guadagni.

La pubblicazione Bleeping Computer scrive che il noto esperto di sicurezza delle informazioni Michael Gillespie ha già confermato che il decryptor contiene la chiave principale necessaria per ripristinare i dati e tale decryptor riesce a decrittografare con successo alcuni sample analizzati. L’utility rilasciata dei criminali informatici è attualmente allo studio da parte di esperti e presto le società di antivirus (ad esempio Emsisoft) promette di fornire le proprie versioni sicure dello strumento.

Ragnarok è attivo almeno dal 2019-2020 e ha guadagnato una notevole fama dopo gli attacchi ai prodotti Citrix, attraverso i quali gli hacker sono penetrati nelle reti aziendali.

Come molti altri ransomware in questi giorni, gli operatori di malware hanno cercato di aumentare le loro possibilità di ottenere ingenti riscatti e hanno rubato file dalle reti delle loro vittime, e poi hanno minacciato di pubblicare queste informazioni di pubblico dominio in quella che viene chiamata “seconda estorsione”.

Ragnarok non è il primo ransomware ad annunciare la sua chiusura quest’anno.

Così, in primavera, il ransomware Ziggy ha “chiuso” e i suoi operatori hanno pubblicato le chiavi per decifrare i dati e hanno promesso di restituire i soldi alle vittime. Poi, dopo gli attacchi clamorosi a infrastrutture critiche, oltre a Colonial Pipeline e JBS , il ransomware Avaddon ha chiuso le sue operazioni e le sue chiavi sono state pubblicate online.

Infine, all’inizio di questo mese, il gruppo di hacker El_Cometa, precedentemente noto come SynAck, ha rilasciato le chiavi principali per decrittografare i dati che sono stati colpiti dai loro attacchi ransomware tra luglio 2017 e l’inizio del 2021.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.