Ragnarok lukker ned

Endnu en ransomwaregruppe siger stop og frigiver sin dekrypteringsnøgle.

Ragnarok, en ransomware-gruppe, der har været i gang siden 2019, har lukket butikken og frigivet en dekrypteringsnøgle til sine ofre.

Det skriver Tech Crunch på baggrund af en artikel fra Bleeping Computer, der var det første medie til at skrive historien.

Gruppen, som også har gået under navnet Asnarok, ændrede i sidste uge sin webside på ’Dark Web’, så den i stedet for at indeholde navnene på 12 ofre viste oplysninger om, hvordan man dekrypterer filer. De 12 ofre var ifølge Bleeping Computers kilde blev skrevet ind på websiden i perioden fra 7.-16. august.

Prominente ofre på CV’et

Ragnarok er bedst kendt for at bruge Ragnar Locker ransomware til at angribe it-netværk. Mange organisationer blev ofre for Ragnaroks hærgen, efter at gruppen formåede at udnytte en Citrix ADC-sårbarhed til at søge efter Windows-computere, som var sårbare over for EternalBlue-sårbarheden; det er den samme sårbarhed bag det nu berygtede WannaCry-angreb.

Ragnarok har ifølge Tech Crunch stået bag succesfulde angreb på den portugisiske energiselskab EDP, italienske Campari Group og har andre ofre i så forskellige lande som Frankrig, Estland,Tyrkiet, Spanien, USA, Sri Lanka, Thailand, Malaysia og Hong Kong. Samlet skulle gruppen have indhøstet mere end 4,5 millioner dollars.

Flere nedlukninger i år

Med Ragnaroks angivelige nedlukning er der nu tre prominente ransomwaregrupper, der har stoppet sine aktiviteter inden for kort tid. Først var det REvil, der stod bag angrebet på slagterigiganten JBS, og siden DarkSide, der stod bag angrebet på Colonial Pipeline. Et aktivitetsstop, som af iagttagere ses som værende sket som følge af pres fra den amerikanske regering, der tidligere på året udpegede ransomware som en national sikkerhedstrussel.

Også andre, mindre profilerede ransomware-grupper, Ziggy Avaddon, SynAck og Fonix, har ifølge Tech Crunch trukket sig tilbage i år og har frigivet dekrypteringsnøgler.

Det er imidlertid set før, at ransomwaregrupper dukker op igen under andre navne efter nedlukninger. Det kan ikke udelukkes, at dette også sker for Ragnarok-gruppen.

Links:

https://www.bleepingcomputer.com/news/security/ragnarok-ransomware-releases-master-decryptor-after-shutdown/

https://techcrunch.com/2021/08/30/ragnarok-ransomware-gang-shuts-down-and-releases-its-decryption-key/