Berüchtigte Ransomware-Bande stellt Betrieb ein

31. August 2021, 14:10
  • security
  • cybercrime
  • international
image

Ragnarok hat einen Generalschlüssel für seine Opfer veröffentlicht. Der Rückzug der Bande lädt zu Spekulationen ein.

Ragnarok, die Bande hinter der Ransomware "Ragnar Locker", hat sich seit 2019 einen Namen gemacht. Sie gilt als Erfinderin der doppelten Erpressung, bei der Geld für die Entschlüsselung von Daten verlangt wird und zudem gedroht wird, gestohlene vertrauliche Daten zu veröffentlichen. Zudem waren die Kriminellen auf virtuelle Maschinen spezialisiert, über die sie viele Server auf einmal verschlüsseln konnte. Berühmtheit erlangte Ragnarok durch die Ausnutzung von Citrix-Schwachstellen.
Wer von den Kriminellen erfolgreich angegriffen worden ist, kann nun aufatmen. Die Bande zieht sich nicht nur aus dem aktiven Geschäft zurück, sie hat auch einen Generalschlüssel veröffentlicht. Dieser findet sich auf der ehemaligen Leak-site, wo bislang Daten von Opfer zu finden waren. Diese seien verschwunden, schreibt 'Bleeping Computer'.
Ragnar Locker hatte 2020 die zweifelhafte Leistung vollbracht, am zweitmeisten Opfer entblösst zu haben: Daten von 26 Opfern sollen letztes Jahr von der Bande veröffentlicht worden sein, wie Palo Alto eruiert hat.
Der aufsehenerregendste Coup der Bande dürfte der erfolgreiche Angriff auf den grössten Energiekonzern Portugals im Frühling 2020 gewesen sein. Damals entwendete sie nach eigenen Angaben rund 10 TB an privaten Informationen und verlangte daraufhin 10 Millionen Euro in Bitcoins. Auch die Campari-Gruppe und den Gamehersteller Capcom griff Ragnarok erfolgreich an.
Warum sich Ragnarok nun zurückzieht, ist nicht bekannt. 'Bleeping Computer' schreibt, dass alles nach einem raschen Rückzug aussehe und mutmasst: Es scheine so, als habe die Bande nicht geplant, ihren Betrieb einzustellen. Das legt zumindest den Verdacht nahe, dass es sich um Schutzmassnahmen gegen Strafverfolgung handeln könnte.
Ragnarok ist nicht die erste Ransomware-Gruppe, die ihre Geschäfte einstellt: So gab im letzten Herbst etwa die berüchtigte Bande Maze ihren Rückzug bekannt, die mit Ragnarok und weiteren ein Kartell gegründet hatte. REvil ging im Juli 2021 offline und nahm seine Infrastruktur vom Netz. Auch damals waren die Gründe nicht bekannt, es wurde aber über Massnahmen der Strafverfolgung spekuliert.
Weniger Ransomware-Attacken sollte man sich von solchen Schritten allerdings nicht erhoffen. Es könnte sich um ein schlichtes Rebranding handeln. Oder die Kriminellen satteln auf neue Malware in neuen Konstellationen um. Erst vor wenigen Tagen warnten Cybersecurity-Forscher von Palo Alto vor 4 neuen Akteuren, die ihre Aktivitäten verstärkt hatten. 

Loading

Mehr zum Thema

image

Edöb besetzt weitere Stellen wegen der Revision des Datenschutzgesetzes

Derzeit sucht der Datenschutzbeauftragte einen Informatiker für die Leitung von Kontrollen. Im Rahmen des neuen DSG wurden 8 Vollzeitstellen gesprochen.

publiziert am 12.8.2022
image

Cyberattacken abwehren bis zum Burnout

Laut einer aktuellen Umfrage leidet fast die Hälfte aller Incident-Responder unter extremem Stress oder sogar Burnouts.

publiziert am 11.8.2022
image

Cisco bestätigt Cyberangriff

Der Angriff fand bereits im Mai statt, die Cyberkriminellen haben jetzt angeblich erbeutete Daten veröffentlicht. Cisco schildert den Ablauf detailliert.

publiziert am 11.8.2022
image

Branchen-Grössen schaffen gemeinsamen Standard für Security-Lösungen

AWS, Splunk und weitere grosse Anbieter von Security-Software kooperieren, um die Integration von Lösungen zu vereinfachen und Datensilos aufzubrechen.

publiziert am 11.8.2022