Группировка Ragnarok неожиданно опубликовала на своём сайте мастер-ключ для расшифровки поражённых шифровальщиком файлов. Судя по всему, речь идёт о поспешном сворачивании операции - по неизвестным пока причинам.

Конец «Рагнарёка»

Шифрогруппировка Ragnarok свернула деятельность и выпустила мастер-ключ для дешифровки поражённых файлов. Манера, в которой это было осуществлено, больше напоминает не плановый выход из игры, а паническое бегство.

Ragnarok (также известный как Asnar?k) - шифровальщик, впервые замеченный в начале 2020 г. На тот момент он активно атаковал серверы Citrix ADC с открытой уязвимостью CVE-2019-19781; известно также, что на заражённых машинах он пытался деактивировать Windows Defender.

Ragnarok прицельно шифрует аудио-, видеофайлы, изображения, документы, базы данных, архивы и другие распространённые типы данных. Все поражённые файлы снабжаются расширением Thor.

От жертв требовался выкуп в размере около $980; если жертва выходила на связь со злоумышленниками в течение 72 часов, ей предлагалась скидка 50%.

Шифрование было достаточно надёжным, чтобы сторонние средства дешифровки его не брали.

Характерной чертой шифровальщика было то, что он всячески избегал те машины, где в качестве системного языка значились русский, белорусский, украинский, туркменский, латышский, казахский, азербайджанский и китайский языки.

Помимо шифрования, операторы Ragnarok крали данные и требовали отдельный выкуп за то, чтобы не выкладывать их в общий доступ. У группировки был свой сайт утечек, на котором в период между 7 июля и 16 августа 2021 г. была опубликована информация о 12 компаниях - из Франции, Эстонии, Шри-Ланки, Турции, Таиланда, США, Малайзии, Гонконга, Испании и Италии. Эти компании, по-видимому, отказывались платить выкуп. Всего в жертвах группировки числятся несколько десятков компаний.

Даже обои содрали

Почему сейчас группировка решила свернуть деятельность, неизвестно. Сайт, на котором публиковалась информация об успешных атаках, работает, но всё графическое оформление с него исчезло, остались только инструкции по расшифровки файлов с помощью мастер-ключа.

Ключ уже успели проверить, его эффективность можно считать доказанной. Компания Emsisoft в настоящее время разрабатывает универсальный дескриптор для жертв Ragnarok.

«Пока не появилось какой-то другой информации, наиболее логичным выглядит предположение, что инфраструктура Ragnarok внезапно «сменила владельцев» или же что операторы шифровальщика почуяли достаточно серьёзную угрозу, чтобы поспешно скрыться, а ключ расшифровки опубликовали, чтобы отвлечь внимание потенциальных преследователей, - считает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. - После атаки на трубопровод Colonial Pipeline со стороны почившей (и, видимо, воскресшей) группировки Darkside, власти США дали понять, что спецслужбы вскоре займутся шифровальщиками вплотную и деликатность проявлять не станут. Но опять же, о том, что случилось на самом деле, пока можно лишь догадываться».

Группировка Ragnarok неожиданно опубликовала на своём сайте мастер-ключ для расшифровки поражённых шифровальщиком файлов

Ragnarok - не единственная группировка, опубликовавшая ключи для расшифровки за последние месяцы.

Как отмечается в материале издания Bleeping Computer, шифровальщик Ziggy свернул деятельность в феврале, его операторы раздали файл с 922 ключами расшифровки. В июне прекратила существование группировка Avaddon, на выходе она также раздала ключи для дешифровки.

Позднее группировка SynAck решила провести ребрендинг, переименовалась в El_Cometa и, видимо, в рекламных целях, выпустила мастер-ключ для прежних жертв.

Аналогичные акции имели место со стороны и нескольких других шифровальных группировок в прошлом.

Роман Георгиев

Поделиться Короткая ссылка