Come accade ogni tanto, il gruppo di cyber criminali responsabili delle operazioni del ransomware Ragnarok ha annunciato la sospensione di tutte le attività e rilasciato la master key tramite il quale divengono risolvibili tutte le infezioni dovute a questo malware.
Contrariamente a come succede di solito, non c'è una dichiarazione "ufficiale" del gruppo riguardo alla sospensione delle attività: le uniche tracce sono sul sito di leak, quello usato dagli estorsori per rendere pubblici i dati rubati delle vittime che si sono rifiutate di collaborare. Il sito di leak è stato svuotato di tutte le immagini e i contenuti.
Il sito di leak, per come si presenta attualmente |
Resta solo un brevissimo testo che contiene il link ad un archivio scaricabile entro il quale si trovano la master key e i file binari necessari per usarla.
Il contenuto dell'archivio. Fonte: Catalin Cimpanu |
Al primo colpo d'occhio, quindi, non sembra che l'operazione di sospensione delle attività sia stata programmata e che, anzi, sia stata eseguita in fretta e furia: hanno semplicemente cancellato tutto. Un ulteriore dettaglio consolida il sospetto della fuga precipitosa: il sito di leak di Ragnarock conteneva alcune news, pubblicate tra il 7 Luglio e il 16 Agosto, nelle quali gli attaccanti annunciavano una serie di nuove vittime, minacciando la pubblicazione dei dati rubati. Tra queste, aziende francesi, estoni, turche, cingalesi, statunitensi, spagnole ma anche italiane, tutte operanti in settori diversi, dai servizi legali alla manifattura. Insomma, fino al 16 Agosto gli attaccanti erano attivi e avevano fatto nuove vittime.
Al di là di come sono andate le cose, la master key si è dimostrata corretta: molteplici ricercatori (primo tra tutti Michael Gillespie) hanno eseguito vari test confermando la possibilità di allestire con la master key un decryptor capace di riportare in chiaro i file senza danneggiarli.
Ricordiamo che le estensioni di criptazione del ransomware Ragnarock sono:
- .ragnarok_cry;
- .ragnarok;
- .rgnk;
- .odin.
Ragnarock in breve
Ragnarock è stato un ransomware attivo dalla fine del 2019 in poi. Specializzato in attacchi contro le aziende, rientra nella categoria dei ransomware specializzati nella "doppia estorsione": un primo riscatto viene richiesto per riportare in chiaro i file, un secondo per non rendere pubblici i dati rubati dagli attaccanti prima di procedere alla criptazione dei sistemi della vittima.
Storicamente, Ragnarock ha preso di mira i gateway Citrix ADC, disponendo infatti di un exploit kit capace di sfruttarne la vulnerabilità CVE-2019-19781.
Per approfondire >
- Il ransomware Ragnarock colpisce in Italia: qualche info tecnica
- Il ransomware Ragnarock colpisce ancora in Italia: sotto ricatto il famoso marchio di moda milanese Boggi Milano
Altri "pensionati" eccellenti di quest'anno
I ransomware che, quest'anno, hanno sospeso l'attività e reso pubbliche o la master key o le chiavi di decriptazione delle singole vittime sono:
- ransomware Ziggy, che ha sospeso le attività in Febbraio. Sono state rese pubbliche le chiavi di decriptazione di 922 diverse vittime;
- ransomware Avaddon, che ha sospeso le attività a Giugno. Anche in questo caso sono state pubblicate le chiavi di decriptazione di molteplici vittime;
- ransomware SynAck che non ha propriamente sospeso le attività, ma sta in una fase di passaggio ad una nuova campagna che sfrutta un nuovo ransomware, che si chiamerà El_Cometa. I suoi gestori hanno reso pubblica la master key del ransomware SynAck, mentre stanno allestendo la rete di affiliati per El_Cometa.
Nessun commento:
Posta un commento