La operación de ransomware Ragnarok se cierra y libera un descifrador gratuito
La banda de ransomware Ragnarok (o Asnarök) cerró su operación hoy y lanzó una utilidad de descifrado gratuita para ayudar a las víctimas a recuperar sus archivos.
El descifrador gratuito, codificado con una clave maestra de descifrado, se lanzó hoy en el portal web oscuro de la pandilla, donde el grupo solía publicar archivos de víctimas que se negaban a pagar.
El descifrador, cuyo funcionamiento ha sido confirmado por varios investigadores de seguridad, se está analizando actualmente antes de que las empresas de seguridad reescriban una versión limpia y segura de usar que se pondrá a disposición del público a través del portal NoMoreRansom de Europol .
Antes de cerrar el día de hoy, la pandilla Ragnarok había estado activa desde finales de 2019 y principios de 2020.
La pandilla operaba utilizando exploits para violar la red y los dispositivos perimetrales de una empresa objetivo, desde donde pivotaría a las redes internas y encriptaría servidores y estaciones de trabajo cruciales.
Para mejorar sus posibilidades de que le paguen, la pandilla Ragnarok también robó archivos de las redes de víctimas, que amenazó con filtrar en su portal web oscuro a menos que el rescate se pagara a tiempo.
Históricamente, el grupo apuntó a las puertas de enlace Citrix ADC y también estuvo detrás de la campaña que explotó un día cero en los firewalls Sophos XG. Si bien el exploit de día cero funcionó y permitió que la pandilla abriera la puerta trasera de los firewalls XG en todo el mundo, Sophos detectó el ataque a tiempo para evitar que el grupo implementara su carga útil de cifrado de archivos.
Un mes antes de cerrar hoy, el equipo de Ragnarok cambió el diseño de su sitio, eliminó a la mayoría de las víctimas pasadas y luego incluso lo rebautizó como “Daytona by Ragnarok”.
Ragnarok ahora se convierte en el tercer grupo de ransomware que cierra y lanza una forma para que las víctimas recuperen archivos de forma gratuita este verano, después de Avaddon en junio y SynAck a principios de este mes.