Le ransomware Ragnarok partage son déchiffreur principal

0

Le gang de ransomware Ragnarok semble avoir mis un terme à son activité et publié la clé principale qui peut déchiffrer les fichiers verrouillés avec leur logiciel malveillant.

Le pirate informatique n’a pas laissé de note expliquant cette décision; tout d’un coup, ils ont remplacé toutes les victimes sur leur site de fuite par une courte instruction sur la façon de déchiffrer les fichiers.

Sortie précipitée

Le site de fuite a été dépouillé des éléments visuels. Il ne reste plus qu’un bref texte renvoyant vers une archive contenant la clé principale et les binaires qui l’accompagnent pour l’utiliser.

En regardant le site de fuite, il semble que le gang n’avait pas prévu de mettre un terme à ses activités et qu’il a simplement tout effacé et arrêté ses opérations.

ragnarok

Jusqu’à plus tôt dans la journée, le site de fuite de ransomware Ragnarok montrait 12 victimes, ajoutées entre le 7 juillet et le 16 août, a déclaré HackNotice.

En répertoriant les victimes sur son site Internet, Ragnarok a cherché à les contraindre de payer la rançon, sous la menace de fuites de fichiers non chiffrés volés lors de l’intrusion.

Les sociétés listées sont originaires de France, d’Estonie, du Sri Lanka, de Turquie, de Thaïlande, des États-Unis, de Malaisie, de Hong Kong, d’Espagne et d’Italie et sont actives dans divers secteurs allant de la fabrication aux services juridiques.

L’expert en ransomware Michael Gillespie a déclaré que le déchiffreur de Ragnarok publié récemment contient la clé de déchiffrement principale.

« [Le décrypteur] a pu décrypter le blob à partir d’un fichier .thor aléatoire », a déclaré Gillespie initialement.

Le chercheur a confirmé plus tard qu’il pouvait déchiffrer un fichier aléatoire, ce qui fait de l’utilitaire un déchiffreur principal qui peut être utilisé pour déverrouiller des fichiers avec diverses extensions du ransomware Ragnarok.

ragnarok

Un déchiffreur universel pour le ransomware Ragnarok est actuellement en préparation. Il sera bientôt disponible auprès d’Emsisoft, une entreprise réputée pour aider les victimes de ransomwares à déchiffrer leurs données.

Le groupe de ransomware Ragnarok existe depuis au moins janvier 2020 et a fait des dizaines de victimes après avoir fait la une des journaux pour avoir exploité la vulnérabilité de l’ADC de Citrix l’année dernière.

Ragnarok n’est pas le seul gang de ransomware à publier une clé de déchiffrement cette année:

  • L’opération de ransomware Ziggy a été fermée en février et son opérateur a partagé un fichier avec 922 clés
  • En mai, le ransomware Conti a offert un décrypteur gratuit à HSE Ireland
  • Le ransomware Avaddon s’est arrêté en juin et a publié les clés de déchiffrement
  • Le gang de ransomware SynAck a été renommé El_Cometa et a publié les clés de décryptage principales dans le cadre de cette transition

Les chercheurs ont également fourni des décrypteurs, et parfois la provenance de ces outils est restée incertaine, comme cela s’est produit avec l’attaque de Kaseya.

Laisser un commentaire