Sites de extorsão do Ragnar Locker são extintos pela polícia

Da Redação
20/10/2023

Os sites de negociação e vazamento de dados dos operadores de ransomware Ragnar Locker foram tirados do ar na manhã de quinta-feira, 19, como parte de uma operação policial internacional. Ao acessar esses sites aparecia a seguinte mensagem: “Este serviço foi apreendido como parte de uma ação policial coordenada contra o grupo Ragnar Locker”.

A reportagem do CISO Advisor confirmou a retirada do ar dos sites, que contou com a participação de policiais internacionais dos EUA, Europa, Alemanha, França, Itália, Japão, Espanha, Holanda, República Tcheca e Letônia.

O Ragnar Locker — também identificado como Ragnar_Locker e RagnarLocker — é uma das operações de ransomware mais antigas, lançado no final de 2019, quando começou a visar empresas. Como outras operações de ransomware, o grupo viola redes corporativas, se espalha lateralmente para outros dispositivos enquanto coleta dados e, em seguida, criptografa os computadores da rede. Os arquivos criptografados e os dados roubados são usados como alavanca em esquemas de dupla extorsão para pressionar a vítima a pagar.

Ao contrário da maioria das operações atuais de ransomware, o Ragnar Locker não é considerado um ransomware-as-a-service (RaaS) que recrutava afiliados externos para violar redes e implantar o ransomware em troca de uma participação na receita no processo. Em vez disso, o grupo opera de forma semi-privada, trabalhando apenas com pentesters externos (profissionais que realizam os testes de penetração) para violar redes.

Veja isso
CWT paga US$ 4,5 milhões e salva 30 mil PCs do Ragnar Locker
Johnson Controls é atingida por ataque de ransomware

A gangue de ransomware também realiza ataques puros de roubo de dados em vez de implantar um criptografador, usando seu site de vazamento de dados para extorquir a vítima. No entanto, de acordo com pesquisadores de segurança cibernética da MalwareHunter, o Ragnar Locker passou, mais recentemente, a usar um criptografador VMware ESXi baseado no código-fonte vazado do Babuk Locker, um ransomware descoberto em 2021. 

Entretanto, a nova operação de ransomware chamada DarkAngels foi vista utilizando o criptografador ESXi original do Ragnar Locker em um ataque à gigante industrial Johnson Controls. Não está claro se essa nova operação é um desdobramento do Ragnar Locker, ou um rebranding, ou se eles compraram o código-fonte. 

O Ragnar Locker é responsável por inúmeros ataques de alto perfil ao longo dos anos, incluindo Energias de Portugal (EDP), Capcom, Campari, Dassault Falcon Jet, ADataDATA e a cidade de Antuérpia, na Bélgica.

Compartilhar: