Les cybercriminels à l’origine du ransomware Ragnarok ont décidé de fermer boutique et ont maintenant publié la clé principale capable de décrypter les fichiers verrouillés avec leur malware.
Tel que rapporté par BipOrdinateur, le gang du ransomware Ragnarok n’a même pas laissé de note expliquant le mouvement. Au lieu de cela, ils ont remplacé toutes les victimes sur leur site de fuite par une courte série d’instructions qui les informaient de la manière dont ils pouvaient déchiffrer leurs fichiers à l’aide de la clé principale désormais accessible au public.
Dans le même temps, le site de fuite du groupe, qui était utilisé pour faire honte aux victimes de payer pour décrypter leurs fichiers, a été dépouillé de tout élément visuel. Le site ne dispose désormais que de plusieurs zones de texte avec des instructions ainsi qu’une archive contenant la clé principale et les binaires qui l’accompagnent.
Normalement, lorsque les groupes de ransomware ferment, ils laissent souvent une note expliquant leurs actions ou contactent un média, comme ce fut le cas avec le groupe de ransomware GandCrab en 2019 et le groupe de ransomware Maze l’année dernière. Alors que GandCrab expliquait pourquoi il fermait dans un article sur un forum de piratage populaire, les opérateurs derrière le ransomware Maze ont personnellement contacté BipOrdinateur pour expliquer leur décision.
Sommaire
Des victimes décrochées
Jusqu’à récemment, le site de fuite de ransomware Ragnarok fournissait des détails sur 12 victimes dont les entreprises sont situées en France, en Estonie, au Sri Lanka, en Turquie, en Thaïlande, aux États-Unis, en Malaisie, à Hong Kong, en Espagne et en Italie et opèrent dans divers secteurs de la fabrication aux services juridiques.
BipOrdinateur a également parlé à l’expert en ransomware Michael Gillespie qui a confirmé qu’il était capable de déchiffrer les fichiers verrouillés à l’aide du ransomware Ragnarok avec la clé principale. Cependant, un décrypteur universel pour le ransomware Ragnarok est actuellement en cours de développement par Emsisoft qui travaille également sur un utilitaire de décryptage pour le ransomware SynAck dont les opérateurs ont fermé boutique plus tôt ce mois-ci.
Le groupe de ransomware Ragnarok est actif dans la nature depuis au moins janvier de l’année dernière. Le groupe a acquis une notoriété en exploitant la vulnérabilité Citrix ADC pour chiffrer les systèmes de dizaines de victimes.
Nous devrons attendre et voir si les cybercriminels derrière Ragnarok développent une nouvelle souche de ransomware ou s’ils l’ont officiellement arrêté pour de bon.
Via BleepingOrdinateur
