En los últimos días el grupo tras el ransomware Ragnarok ha publicado una herramienta que permite descifrar cualquier fichero cifrado por este malware.
Al parecer, el grupo tras Ragnarok ha cesado su actividad, o al menos eso es lo que se cree. Después de haber publicado en la herramienta para descifrar cualquier fichero cifrado por este ransomware (ésta contendría las ‘master keys’), los operadores no han dejado ningún mensaje más en su web de leaks. Por ello, se desconoce si realmente han cesado la actividad o si se trata de algún tipo de estrategia.
Como podemos apreciar en la siguiente imagen, en su página de leaks se han eliminado los elementos visuales (imágenes, estilos, etc.), y se ha dejado simplemente un mensaje indicando como debe usarse el descifrador y un enlace para su descarga.
Entre el 7 de Julio y el 16 de Agosto, los operadores de este ransomware han estado añadiendo nuevas entidades a su malware, solicitando un pago a cambio de no filtrar los ficheros sensibles obtenidos durante el ataque. Hasta hace pocos días, la web mostraba 12 víctimas, empresas de diferentes países, entre ellos: España, Francia, Estonia, Turquía, Tailandia, Malasia, Estados Unidos e Italia.
Sin embargo, en los últimos días su página web de leaks incluye un breve comentario sobre el uso del descifrador y un enlace para su descarga. Esto, junto al aspecto de la web, en la que se han eliminado los elementos visuales, da lugar a pensar que el grupo podría haber cesado su actividad de forma imprevista. Quizás, por algún motivo desconocido, los operadores del malware han tenido que acabar con su actividad delictiva rápidamente.
El experto en ransomware, Michael Gillespie, ha confirmado que tras realizar diversas pruebas, el descifrador ha sido capaz de descifrar ficheros sin importar la campaña/versión del malware. Esta herramienta para descifrar los ficheros contendría las claves maestras que permiten el descifrado de cualquier fichero cifrado por Ragnarok.
La firma de ciberseguridad Emsisoft ha confirmado que en los próximos días pondrán a disposición del que lo requiera un descifrador universal válido para todos los afectados.
Ragnarok es uno más de los grupos que ha acabado liberando las claves de descifrado de su ransomware, uniéndose a la lista de grupos que ya lo han hecho, como Conti, Avaddon y Ziggy.
Más información:
Deja una respuesta