Le gang de ransomware Ragnarok s’arrête et libère sa clé de déchiffrement – TechCrunch
Ragnarok, à ransomware gang opérationnel depuis 2019 qui a gagné en notoriété après avoir lancé des attaques contre des serveurs Citrix ADC non corrigés, a fermé et publié un clé de déchiffrement pour ses victimes.
Le gang, parfois appelé Asnarok, a remplacé la semaine dernière les 12 victimes répertoriées sur son portail Web sombre par une brève instruction sur la façon de décrypter les fichiers. Cela s’est accompagné de la sortie d’un décrypteur, dont les experts d’Emsisoft ont confirmé qu’il contenait la clé de décryptage principale. La société de sécurité, connue pour aider les victimes de ransomwares à déchiffrer les données, a également publié un décrypteur universel pour le ransomware Ragnarok.
Ragnarok est surtout connu pour utiliser le ransomware Ragnar Locker pour cibler les réseaux informatiques. Il a fait des dizaines de victimes après avoir exploité une vulnérabilité Citrix ADC pour rechercher des ordinateurs Windows vulnérables à la vulnérabilité EternalBlue — la même vulnérabilité derrière la désormais célèbre attaque WannaCry – et a accumulé plus de 4,5 millions de dollars de rançons, selon le Ransomwhe.re suivi des paiements.
En avril 2020, les cybercriminels ont volé 10 téraoctets de données appartenant au géant portugais de l’énergie EDP et ont menacé de les divulguer si une rançon de 10,9 millions de dollars n’était pas payée. Le gang a ensuite exfiltré jusqu’à 2 To de données, y compris des relevés bancaires, des dossiers d’employés et des accords de célébrités, des serveurs du géant italien des alcools Campari Group, et a exigé qu’il remette plus de 15 millions de dollars de rançon.
Et en novembre, le gang de ransomware de courte durée a également ciblé Capcom, le géant japonais des jeux vidéo derrière des titres tels que Street Fighter, Resident Evil et Devil May Cry. Le gang aurait volé les données personnelles de 390 000 clients, partenaires commerciaux et autres parties externes des systèmes de Capcom.
La nouvelle de la fermeture a été signalé pour la première fois par Bleeping Computer.
Sans note de départ officielle, on ne sait pas pourquoi Ragnarok a apparemment décidé d’arrêter. Mais d’autres gangs de ransomware ont adopté une tactique d’autodestruction similaire face à la pression croissante du gouvernement américain, qui plus tôt cette année a qualifié les ransomwares de menace pour la sécurité nationale ; REvil, le gang derrière l’attaque de JBS, a mystérieusement disparu d’Internet, et DarkSide, le gang derrière l’incident du pipeline colonial, a également annoncé qu’il prenait sa retraite.
D’autres gangs de ransomware, dont Ziggy Avaddon, SynAck et Fonix, se sont également tous retirés du piratage cette année, chacun abandonnant ses clés pour aider les victimes à se remettre de leurs attaques.
Bien sûr, il reste à voir si la disparition de Ragnarok est permanente, ou s’il changera simplement de nom ; le tristement célèbre gang de ransomware DoppelPayment est récemment réapparu sous le nom de Grief Ransomware après des mois d’inactivité.
“Même si je suis sûr que ce n’est que temporaire, c’est agréable de voir une autre victoire”, tweeté Allan Liska, de l’équipe de réponse aux incidents de sécurité informatique de Recorded Future.
