Le groupe criminel Ragnarok, à l'origine du ransomware éponyme, a tiré sa révérence… tout en mettant à disposition de ses victimes la clé de déchiffrement maîtresse.
En activité depuis près de deux ans, Ragnarok est notamment connu pour avoir exploité une faille de sécurité dans les services Citrix ADC et Citrix Gateway. Le groupe privilégiait la double extorsion, une technique qui consiste à faire pression sur la victime en exfiltrant ses données et en la menaçant de les publier sur Internet afin qu'elle paye la rançon.
Un déchiffreur gratuit pour les victimes de Ragnarok
Jusqu'à présent, le site web de Ragnarok affichait fièrement une liste d’une dizaine de victimes récentes, actives dans divers secteurs allant de l'industrie aux services juridiques. Depuis le début de ses activités, le groupe s'est attaqué à des dizaines d'entreprises, dont l'armateur français CMA CGM, l’éditeur de jeux vidéo Capcom ou encore le géant portugais de l'énergie EDP.
Désormais, le site laisse à disposition une clé de déchiffrement et des instructions pour permettre aux victimes de récupérer leurs fichiers. Les équipes d'Emsisoft, entreprise spécialisée dans la sécurité informatique, ont ainsi pu créer un déchiffreur universel à partir de cette clé.
Une retraite temporaire ?
Ragnarok n'a pas laissé de message pour commenter son retrait soudain. D'autres gangs spécialisés dans le ransomware (Ziggy Avaddon, SynAck, Fonix…) ont fermé boutique d'une manière similaire cette année, en laissant des clés de déchiffrement à leurs victimes, face à la pression croissante du gouvernement américain.
Après la cyberattaque de grande ampleur qui a visé les oléoducs de Colonial Pipeline en mai dernier, le département de la Justice américain a décidé d'appliquer aux attaques par ransomware le même niveau de priorité que pour le terrorisme. Une unité spécialisée a été mise en place afin de centraliser les informations liées aux enquêtes et d'établir des liens entre les groupes de cybercriminels pour ensuite remonter les filières et les démanteler.
Reste à savoir si Ragnarok a disparu pour de bon ou si le groupe va revenir sous un autre nom. Cela a été le cas pour DoppelPaymer, récemment réapparu sous le nom de Grief après des mois d'inactivité.
Source : TechCrunch
