Ragnarok, банда вымогателей, действующая с 2019 года и получившая известность после атак на непропатченные серверы Citrix ADC, закрылась и выпустила бесплатный ключ дешифрования для своих жертв.
Банда, которую иногда называют Аснарок, на прошлой неделе заменила всех 12 жертв, перечисленных на ее темном веб-портале, краткой инструкцией по расшифровке файлов. Это сопровождалось выпуском дешифратора, который, как подтвердили эксперты Emsisoft, содержит главный ключ дешифрования. Фирма по безопасности, известная тем, что помогает жертвам программ-вымогателей с расшифровкой данных, также выпустила универсальный дешифратор для программы-вымогателя Ragnarok.
Ragnarok наиболее известен тем, что использовал программу-вымогатель Ragnar Locker для нацеливания на ИТ-сети. Он унес десятки жертв после использования уязвимости Citrix ADC для поиска компьютеров с Windows, уязвимых для уязвимости EternalBlue – той же уязвимости, которая стоит за теперь печально известной атакой WannaCry – и собрал более 4,5 миллионов долларов в виде выкупа, согласно данным Трекер платежей Ransomwhe.re.
В апреле 2020 года киберпреступники украли 10 терабайт данных, принадлежащих португальскому энергетическому гиганту EDP, и пригрозили утечь их, если не будет уплачен выкуп в размере 10,9 миллиона долларов. Затем банда похитила до 2 ТБ данных, включая банковские выписки, записи сотрудников и соглашения со знаменитостями, с серверов итальянского гиганта Campari Group, и потребовала выкупа на сумму более 15 миллионов долларов.
А в ноябре недолговечная банда вымогателей также нацелилась на Capcom, японского гиганта видеоигр, создавшего такие игры, как Street Fighter, Resident Evil и Devil May Cry. Сообщается, что банда украла личные данные 390 000 клиентов, деловых партнеров и других сторонних лиц из систем Capcom.
Новость о закрытии была впервые сообщена Bleeping Computer.
Без официального уведомления об отъезде непонятно, почему Рагнарок, казалось бы, решил прекратить работу. Но другие банды вымогателей прибегли к аналогичной тактике самоуничтожения перед лицом растущего давления со стороны правительства США, которое ранее в этом году заклеймило вымогатели как угрозу национальной безопасности; REvil, банда, стоявшая за атакой JBS, таинственным образом исчезла из Интернета, и DarkSide, банда, стоявшая за инцидентом с Colonial Pipeline, также объявила о своем уходе.
Другие банды вымогателей, в том числе Ziggy Avaddon, SynAck и Fonix, также отказались от взлома в этом году, каждая из них сдает свои ключи, чтобы помочь жертвам оправиться от своих атак.
Конечно, еще неизвестно, будет ли исчезновение Рагнарока навсегда, или он будет просто ребрендингом; печально известная банда программ-вымогателей DoppelPayment недавно снова появилась как Grief Ransomware после нескольких месяцев бездействия.
«Хотя я уверен, что это временное явление, приятно видеть еще одну победу», твитнул Аллан Лиска, от группы реагирования на инциденты компьютерной безопасности Recorded Future.