Wetshandhavingsinstanties hebben met succes de onderhandelings- en dataleksites op het dark web in beslag genomen die worden gebruikt door de beruchte Ragnar Locker-ransomware-operatie. Deze gezamenlijke operatie, waarbij meerdere landen betrokken zijn, is een flinke klap voor de wereld van ransomware. In dit artikel gaan we dieper in op deze operatie en duiken we in de achtergrond van de Ragnar Locker-bende.
Inbeslagneming door Ragnar Locker Ransomware
Internationale wetshandhavingsfunctionarissen voerden een goed gecoördineerde operatie uit waarbij beslag werd gelegd op de belangrijkste webinfrastructuur die wordt gebruikt door de Ragnar Locker-ransomwaregroep. Bezoekers van deze sites worden nu geconfronteerd met een bericht van inbeslagneming dat openlijk aangeeft dat een coalitie van wetshandhavingsinstanties uit de Verenigde Staten, Europa, Duitsland, Frankrijk, Italië, Japan, Spanje, Nederland, Tsjechië en Letland deze actie heeft uitgevoerd. operatie. De boodschap is duidelijk: dit maakt deel uit van een grotere campagne tegen de Ragnar Locker-organisatie.
Een Europol-functionaris heeft de legitimiteit van dit bericht van inbeslagname geverifieerd en benadrukt dat het deel uitmaakt van een voortdurende poging om de Ragnar Locker-ransomwaregroep te ontmantelen, zegt Piepende computer. Ze beloofden ook een officiële aankondiging te doen over de succesvolle operatie. Ondertussen heeft de FBI ervoor gekozen om over dit onderwerp te zwijgen.
Ragnar Locker in de kijker
Ragnar Locker, ook bekend als Ragnar_Locker en RagnarLocker, staat bekend als een van de langstlopende ransomwarecampagnes. Het debuteerde eind 2019 en was vooral gericht op ondernemingen. De strategie was bekend: betreed bedrijfsnetwerken, beweeg daarbinnen zijdelings en exfiltreer gegevens. Daarna zou de bende encryptie gebruiken om de machines van het netwerk te beveiligen.
De aanpak van Ragnar Locker is wat het onderscheidt. De Ragnar Locker-ransomware werkt anders dan veel moderne ransomware-operaties, waarbij op agressieve wijze partners worden gerekruteerd om netwerken te compromitteren en ransomware-aanvallen te lanceren. Het opereert semi-privaat, vermijdt agressieve rekrutering en werkt samen met externe penetratietesters om netwerken aan te vallen.
Bovendien richt Ragnar Locker zich, in tegenstelling tot de meeste ransomware-activiteiten, uitsluitend op het stelen van gegevens. Ze gebruiken hun dataleksite om hun slachtoffers af te persen, waardoor ze een unieke en geduchte kracht worden in de wereld van cybercriminaliteit.
Een recente wending in de tactiek van Ragnar Locker kwam aan het licht toen cybersecurity-onderzoeker MalwareHunterTeam meldden dat ze een VMware ESXi-encryptor gebruiken, die is gebaseerd op de gelekte broncode van Babuk. Intrigerend genoeg ontstond er een nieuwe ransomwarespeler genaamd DarkAngels, die gebruik maakte van de originele ESXi-encryptor van Ragnar Locker tijdens een aanval op de industriële gigant Johnson Controls. De oorsprong en aansluiting van DarkAngels blijven onzeker, waardoor er ruimte is voor speculatie.
Opmerkelijke aanvallen en succes bij wetshandhaving
De Ragnar Locker-ransomware is betrokken geweest bij verschillende spraakmakende aanvallen, waaronder die op Energias de Portugal (EDP), Capcom, Campari, Dassault Falcon Jet, ADATA en zelfs de stad Antwerpen, België. De inbeslagname van hun ondergrondse websites betekent een belangrijke triomf voor de rechtshandhaving en de voortdurende campagne tegen ransomware.
Verrassend genoeg kreeg de Oekraïense Cyber Alliance (UCA) ook nieuws na het hacken van de Trigona Ransomware-bende. UCA zou gegevens kunnen extraheren en vervolgens de servers van de bende kunnen wissen. Ze hebben beloofd samen te werken met de wetsautoriteiten door de informatie die ze hebben verzameld te verstrekken. Deze week was moeilijk voor ransomware-exploitanten en hoopvol voor degenen die zich inzetten voor het stoppen van hun illegale activiteiten.
Uitgelichte afbeeldingscredits: Clint Patterson/Unsplash
Source: Ragnar Locker Ransomware donkere websites in beslag genomen