Кибервымогатели Ragnarok выпустили бесплатный декриптор для зашифрованных файлов

Кибервымогательская группировка Ragnarok (Asnarök) объявила о завершении своей деятельности и выпустила бесплатную утилиту для восстановления зашифрованных файлов.

Бесплатный декриптор со вшитым мастер-ключом для дешифровки был опубликован в четверг, 26 августа, на принадлежащем группировке web-портале в даркнете, где она ранее публиковала данные жертв, отказавшихся платить выкуп.

Ряд исследователей безопасности изучили декриптор и подтвердили его подлинность. В настоящее время они проводят подробный анализ инструмента с целью переписать его в безопасный и простой в использовании вариант, который затем будет опубликован на портале NoMoreRansom Европола.

Кибервымогательская группировка Ragnarok начала свою активность в конце 2019-го – начале 2020 года. С помощью эксплоитов хакеры взламывали сетевые устройства и устройства для охраны периметра и через них прокладывали себе путь к ключевым серверам и рабочим станциям.

Для повышения своих шансов на получение выкупа от жертвы злоумышленники также похищали файлы из атакованной сети и угрожали их публикацией на своем портале в даркнете, если деньги не будут переведены вовремя.

Как правило, группировка атаковала шлюзы Citrix ADC. Кроме того, именно она стояла за нашумевшей волной атак на межсетевые экраны Sophos XG через уязвимость нулевого дня. Хотя эксплоит был рабочим и позволял Ragnarok устанавливать бэкдор в межсетевых экранах Sophos XG по всему миру, компания Sophos своевременно обнаружила атаки и заблокировала хакерам возможность развертывания вымогательского ПО.

За месяц до ухода с киберпреступной арены группировка поменяла дизайн своего сайта, удалила данные большинства своих старых жертв, а затем даже переименовалась в Daytona by Ragnarok.

Ragnarok является уже третьей кибервымогательской группировкой, выпустившей декриптор для восстановления файлов этим летом. Так, в июне ключ для расшифровки опубликовала группировка Avaddon , а ранее в текущем месяце – SynAck .