O site obscuro que o grupo de ransomware RagnarLocker usou para nomear e envergonhar as vítimas foi apreendido na quinta-feira como parte de um esforço coordenado de aplicação da lei.
Ativo desde 2020, o RagnarLocker esteve envolvido em vários ataques, com pelo menos 52 entidades em 10 setores de infraestrutura crítica sendo vítimas desta família de ransomware, de acordo com dados do Federal Bureau of Investigation (FBI).
Ao contrário de outras operações de ransomware, o RagnarLocker não foi promovido como ransomware como serviço, mas foi operado por um grupo privado que cooperou com outros cibercriminosos apenas quando necessário.
Nas máquinas infectadas, o RagnarLocker coletava e exfiltrava informações do sistema, iterava por todas as unidades, encerrava serviços que poderiam interferir no processo de criptografia e, em seguida, criptografava todos os arquivos de interesse, evitando pastas e arquivos que pudessem impedir a operação do sistema.
Assim como outros grupos de ransomware, a gangue cibernética RagnarLocker exfiltraria os dados das vítimas para usá-los em extorsão. Em alguns casos, o grupo apenas roubaria dados para extorsão, sem implantar ransomware com criptografia de arquivos.
A gangue cibernética então listou as supostas vítimas de seus ataques em um site de vazamento hospedado pelo Tor, ameaçando divulgá-lo publicamente, a menos que um resgate fosse pago.
A partir de quinta-feira, uma mensagem exibida em inglês no site da operação de ransomware RagnarLocker, baseado em Tor, informa aos visitantes que “este serviço foi apreendido como parte de uma ação coordenada de aplicação da lei internacional contra o grupo RagnarLocker”.
Autoridades de uma dúzia de países estiveram envolvidas neste esforço, incluindo agências responsáveis pela aplicação da lei em França, Alemanha, Itália, Letónia, Países Baixos, Eslováquia, Espanha e EUA, coordenados pela Europol.
Este ano, as operações de aplicação da lei também levaram ao encerramento de outros sites obscuros nefastos, incluindo o portal de ransomware Hive em janeiro, o mercado de crimes cibernéticos Genesis Market em abril e o mercado de drogas Piilopuoti em setembro.