Europol Desmantela Infraestrutura do Ransomware Ragnar Locker, Captura Desenvolvedor Chave
23 de Outubro de 2023

A Europol anunciou na sexta-feira a desativação da infraestrutura associada ao ransomware Ragnar Locker, juntamente com a prisão de um "alvo chave" na França.

"Em uma ação realizada entre 16 e 20 de outubro, buscas foram conduzidas na Chéquia, Espanha e Letônia", disse a agência.

"O principal perpetrador, suspeito de ser um desenvolvedor do grupo Ragnar, foi levado perante os juízes de instrução do Tribunal Judicial de Paris."

Cinco outros cúmplices associados à quadrilha do ransomware teriam sido interrogados na Espanha e na Letônia, com os servidores e o portal de vazamento de dados apreendidos na Holanda, Alemanha e Suécia.

O esforço é o mais recente exercício coordenado envolvendo autoridades da Chéquia, França, Alemanha, Itália, Japão, Letônia, Holanda, Espanha, Suécia, Ucrânia e EUA.

Dois suspeitos associados à equipe do ransomware foram presos anteriormente na Ucrânia em 2021.

Um ano depois, outro membro foi detido no Canadá.

O Ragnar Locker, que surgiu pela primeira vez em dezembro de 2019, é conhecido por uma série de ataques visando entidades de infraestrutura crítica ao redor do mundo.

De acordo com a Eurojust, o grupo realizou ataques contra 168 empresas internacionais em todo o mundo desde 2020.

"O grupo Ragnar Locker era conhecido por empregar uma tática de dupla extorsão, exigindo pagamentos exorbitantes por ferramentas de descriptografia, bem como pela não divulgação dos dados sensíveis roubados", disse a Europol.

A Polícia Cibernética da Ucrânia disse que realizou operações em uma das instalações dos membros suspeitos em Kiev, confiscando laptops, telefones celulares e mídia eletrônica.

A ação policial coincide com a Aliança Cibernética Ucraniana (UCA) infiltrando e desativando o site de vazamento administrado pelo grupo de ransomware Trigona e eliminando 10 dos servidores, mas não antes de exfiltrar os dados armazenados neles.

Há evidências que sugerem que os atores de Trigona usaram o Atlassian Confluence para suas atividades.

Assim como a desmontagem do Hive e do Ragnar Locker representa esforços em curso para combater a ameaça do ransomware, também são iniciativas tomadas por atores de ameaças para evoluir e renomear sob novos nomes.

Hive, por exemplo, ressurgiu como Hunters International.

O desenvolvimento ocorre enquanto o Departamento Central de Investigação da Índia, com base em informações compartilhadas pela Amazon e pela Microsoft, disse ter efetuado operações em 76 localidades em 11 estados em uma repressão nacional visando desmantelar a infraestrutura usada para facilitar crimes financeiros cibernéticos, como golpes de suporte técnico e fraude de criptomoedas.

O exercício, denominado Operação Chakra-II, levou à apreensão de 32 telefones móveis, 48 laptops/discos rígidos, imagens de dois servidores, 33 cartões SIM e drives, além de um dump de 15 contas de email.

Ele também segue a extradição de Sandu Diaconu, moldavo de 31 anos, do Reino Unido para os EUA para enfrentar acusações relacionadas ao seu papel como administrador da E-Root Marketplace, um site que oferecia acesso a mais de 350.000 credenciais de computador comprometidas em todo o mundo para ataques de ransomware, transferências não autorizadas e fraude fiscal.

O site, que entrou em operação em janeiro de 2015, foi desativado em 2020 e Diaconu foi preso no Reino Unido em maio de 2021 enquanto tentava fugir do país.

"A E-Root Marketplace operava em uma rede amplamente distribuída e tomava medidas para ocultar as identidades de seus administradores, compradores e vendedores", disse o Departamento de Justiça dos EUA (DoJ) esta semana.

"Os compradores podiam procurar por credenciais de computador comprometidas no E-Root, como acesso RDP e SSH, por critérios desejados, como preço, localização geográfica, provedor de serviços de internet e sistema operacional."

Em uma ação policial relacionada, Marquis Hooper, um ex-gerente de TI da Marinha dos EUA, foi condenado a cinco anos e cinco meses de prisão por obter ilegalmente as informações pessoais identificáveis (PII) de 9.000 cidadãos americanos e vendê-las na dark web por $160,000 em bitcoin.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...