Ragnarok Threat Actor arrête ses opérations et le décrypteur est publié

Après une série de reportages sur d'énormes succès de ransomware, des suppressions de réseaux désastreuses et des récupérations douloureuses, les nuages semblent enfin se disperser un peu. Les chercheurs ont signalé que le gang de ransomware connu sous les noms de Ragnarok et Asnarok a cessé ses opérations.

L'annonce a été faite sur la page Web utilisée par les pirates informatiques exécutant Ragnarok. La page a été mise à jour avec un lien de téléchargement pour un ensemble d'outils qui peut être utilisé comme décrypteur universel pour toute personne ayant encore des fichiers cryptés par le ransomware Ragnarok.

Les chercheurs en sécurité ont testé le décrypteur et plusieurs rapports indiquent qu'il fonctionne comme prévu et peut restaurer avec succès les fichiers à la normale. Les outils de décryptage sont en cours de tri et d'ingénierie inverse pour le moment, afin qu'une version officielle et propre puisse être publiée sur la page du portail Europol NoMoreRansom.

Ragnarok est un acteur menaçant qui a été repéré et documenté pour la première fois par des chercheurs en sécurité fin 2019. Les pirates ont repris des attaques et des activités en 2020. Cependant, après seulement un an et demi de fonctionnement actif, ils ont officiellement fermé boutique fin août 2021. .

Ce mouvement, bien que rafraîchissant, n'est pas aussi surprenant qu'il n'y paraît. Plus tôt au cours de l'été 2021, deux autres acteurs de la menace qui s'occupent des ransomwares ont également appelé à l'arrêt et publié leurs propres outils de décryptage universels pour leurs souches respectives de ransomwares. Ces deux-là s'appelaient Avaddon et SynAck.

À la suite de l'attaque de ransomware sur Colonial Pipeline et des contre-mesures suivantes prises par le gouvernement américain, il semble que les acteurs des ransomwares du monde entier aient commencé à reconsidérer leurs options. Deux énormes gangs de ransomwares - REvil et DarkSide, ont également apparemment fermé leurs portes. Un certain nombre de forums de piratage du dark web ont également interdit les discussions portant sur les ransomwares.

Reste à voir si REvil et DarkSide sont partis pour de bon ou s'ils restent tout simplement discrets pendant un certain temps et améliorent tranquillement leurs boîtes à outils dans le but de changer de marque. Quoi qu'il en soit, la nouvelle de la fermeture de Ragnarok est une bouffée d'air frais dans un paysage par ailleurs sombre.