Ragnarok: Ransomware-Gruppe stellt Entschlüsselungswerkzeug bereit

Die Ragnarok-Ransomware-Bande, die seit 2019 alle Arten von Organisationen auf der ganzen Welt terrorisiert hat, scheint ihr Geschäft aufgegeben zu haben. Die Gruppe hat ihre öffentliche Präsenz aus dem Dark Web entfernt und einen Master-Entschlüsselungsschlüssel auf der „Leak-Site“ hinterlassen, die sie zur Erpressung ihrer Opfer nutzte.

Der Hauptentschlüsselungsschlüssel wurde von der Sicherheitsfirma Emsisoft und dem Forscher Michael Gillespie von ID Ransomware schnell als authentisch und funktionsfähig verifiziert. Er scheint jede von der Ragnarok Ransomware verschlüsselte Datei zu entschlüsseln. Emsisoft arbeitet derzeit an einem einfach zu bedienenden, universellen Entschlüsselungs-Tool, das den Opfern kostenlos über das Europol NoMoreRansom Portal zur Verfügung gestellt werden soll.

Ragnarok Ransomware-Bande macht Pause

Die Ragnarok-Ransomware-Gang hat keine öffentliche Ankündigung gemacht, dass sie ihr Geschäft aufgibt. Sie hat lediglich den Inhalt ihrer Leak-Site unerwartet gelöscht und durch den Master-Entschlüsselungsschlüssel und eine kurze Notiz ersetzt, in der erklärt wird, wie man ihn verwendet.

Ragnarok gehört zu den Ransomware-Gruppen, die ihren Angriffen ein erpresserisches Element hinzugefügt haben, indem sie sensible Dateien von den Zielpersonen exfiltrieren (in der Regel persönliche Daten von Kunden und Mitarbeitern oder vertrauliche Geschäftsinformationen) und damit drohen, diese auf der Leak-Site zu veröffentlichen, wenn das Lösegeld nicht bezahlt wird. Vor dem Verschwinden und der Veröffentlichung des Hauptentschlüsselungsschlüssels waren auf der Ragnarok-Leak-Site die Namen von 12 Opfern aufgeführt, die auf diese Weise aktiv erpresst wurden. Die Website enthielt nur einen einzigen Hinweis auf die zukünftigen Absichten der Gruppe, nämlich eine kryptische Zeile über „Daytona by Ragnarok“.

Es wird vermutet, dass die Ragnarok-Ransomware-Gruppe seit 2019 aktiv ist und ihren ersten öffentlichkeitswirksamen Angriff im Januar 2020 verzeichnete, als sie eine veröffentlichte Sicherheitslücke in Citrix-Netzwerkgeräten ausnutzte, um eine Reihe von Systemen auf der ganzen Welt zu kompromittieren. Es wird vermutet, dass die Gruppe in oder um Russland ansässig ist, da der Ragnarok-Ransomware-Code einen Ausschluss für Systeme mit russischen oder chinesischen Spracheinstellungen enthält.

Der Schritt erfolgt inmitten einer kleineren Welle öffentlicher Schließungen von Ransomware-Gruppen, die möglicherweise durch die erhöhte Aufmerksamkeit für diese Gruppen nach einer Reihe hochkarätiger Angriffe auf kritische Infrastrukturen angestachelt wurden. Andere Gruppen, darunter Conti und Avaddon, haben in den letzten Monaten freiwillig kostenlose Master-Entschlüsselungsschlüssel angeboten, bevor sie verschwanden. Dies passt zu einem bekannten Muster von Ransomware-Gruppen, die sich auflösen, nachdem sie etwas zu erfolgreich geworden sind und etwas zu viel Aufmerksamkeit auf sich gezogen haben, und häufig eine mehrmonatige Pause einlegen, bevor sie sich unter einem neuen Namen neu formieren und direkt wieder an die Arbeit gehen.

Dies ist jedoch kein allgemeiner Trend; einige Ransomware-Gruppen haben sich entschlossen, öffentliche Erklärungen über ihre Entscheidung, den Betrieb einzustellen, abzugeben, und einige haben sich sogar direkt an Medienorganisationen gewandt (wie die Maze-Gruppe mit BleepingComputer, als sie im Jahr 2020 aufgab). Diese Gruppen haben in der Regel nur eine eigennützige Begründung geliefert, anstatt einen Hauptentschlüsselungsschlüssel bereitzustellen, um früheren Opfern zu helfen.

Freigabe des Hauptentschlüsselungsschlüssels bringt Erleichterung für Organisationen

Das Auftauchen des Hauptentschlüsselungsschlüssels ist eine große Erleichterung für das Dutzend Organisationen, die die Ragnarok-Ransomware-Bande zum Zeitpunkt ihres Verschwindens immer noch versuchte, auszunutzen, sowie für wahrscheinlich Tausende von Systemen, die durch frühere Infektionen blockiert waren. Die Ragnarok-Ransomware-Gang verlangte einen durchschnittlichen Preis von 0,02 BTC (ca. 290 US-Dollar) für jeden infizierten Computer, wobei sie für größere Organisationen mit tieferen Taschen höhere Preise verlangte.

Einer der letzten großen Erfolge der Ragnarok-Ransomware-Gruppe war ein Angriff auf das italienische Modeunternehmen Boggi Milano im April, bei dem 40 Gigabyte interner Daten gestohlen wurden, darunter Personal- und Gehaltslistendateien. Ragnarok hat sich nicht nur schnell auf die Citrix ADC-Schwachstelle gestürzt, nachdem sie bekannt wurde (und während viele Rechner ungepatcht blieben), sondern war auch eine der ersten Gruppen, die auf die Sicherheitslücke in der Sophos XG-Firewall abzielte, die im April letzten Jahres entdeckt wurde. Die Gruppe konnte in einige Ziele eindringen und einige Dateien exfiltrieren, aber Sophos entdeckte die Angriffe und veröffentlichte einen Hotfix, der die Verbreitung der Ragnarok-Ransomware auf gepatchten Systemen verhinderte. Im Jahr 2020 wurden auch der Videospielhersteller Capcom und der portugiesische Energieriese EDP erfolgreich angegriffen, wobei in beiden Fällen Ransomware-Attacken ausgeführt und sensible Dateien exfiltriert wurden.