O descriptografador gratuito, com uma chave mestra incorporada, foi publicado na quinta-feira, 26 de agosto, no portal do grupo na dark web, onde o grupo já havia publicado os dados das vítimas que se recusaram a pagar o resgate.
Especialistas estão analisando o útilitário para reescrevê-lo em uma versão segura e publicá-lo no site NoMoreRansom.
Vários pesquisadores de segurança estudaram o descriptografador e confirmaram sua autenticidade. Estão atualmente fazendo uma análise detalhada da ferramenta, com o objetivo de reescrevê-la numa versão segura e fácil de utilizar, que será posteriormente publicada no portal NoMoreRansom da Europol.
O grupo de ransomware Ragnarok iniciou suas atividades no final de 2019 – início de 2020. Usando exploits, ele invadiu dispositivos de segurança de rede, servidores e estações de trabalho.
Para aumentar as chances de obter o resgate da vítima, os invasores também roubaram arquivos da rede atacada e ameaçaram publicá-los em seu portal na dark web se o dinheiro não fosse transferido no prazo determinado.
Normalmente, o grupo atacava gateways Citrix ADC. O grupo também esteve por trás da onda de ataques aos firewalls Sophos XG por meio de uma vulnerabilidade de dia zero. Enquanto o exploit esteve funcionando e permitia que o Ragnarok instalasse um backdoor nos firewalls Sophos XG em todo o mundo, a Sophos detectou oportunamente ataques e impediu que os hackers implantassem mais ransomware.
Um mês atrás, o grupo mudou o design de seu site, excluiu os dados da maioria de suas vítimas anteriores e até o rebatizou como Daytona.
Ragnarok é o terceiro grupo de ransomware a lançar um descriptografador de recuperação. Em junho, chaves de descriptografia foram publicada pelo grupo Avaddon e no início deste mês pelo SynAck.
Até o início de hoje, o site de vazamento de ransomware Ragnarok mostrava 12 vítimas, adicionadas entre 7 de julho e 16 de agosto, disse o provedor de inteligência de ameaças HackNotice ao BleepingComputer.
Ao listar as vítimas em seu site, Ragnarok tentou forçá-las a pagar o resgate, sob a ameaça de vazamento de arquivos não criptografados roubados durante a invasão.
As empresas listadas são da França, Estônia, Sri Lanka, Turquia, Tailândia, Estados Unidos, Malásia, Hong Kong, Espanha e Itália e atuam em vários setores que vão desde a fabricação até serviços jurídicos.
O especialista em ransomware Michael Gillespie disse ao BleepingComputer que o descriptografador Ragnarok lançado hoje contém a chave mestre de descriptografia.
“[O descriptografador] foi capaz de descriptografar o blob de um arquivo .thor aleatório”, disse Gillespie ao BleepingComputer.
O pesquisador confirmou posteriormente que poderia descriptografar um arquivo aleatório, o que torna o utilitário um descriptografador mestre que pode ser usado para desbloquear arquivos com várias extensões de ransomware Ragnarok.
Assista o vídeo abaixo e saiba como proteger seus dados contra Ransomware:
