Asnarok, el grupo detrás del ransomware Ragnarok, se ha retirado, dejando la llave maestra para el descifrado de los archivos afectados por el malware. Asnarok tuvo notoriedad el año pasado al explotar la vulnerabilidad Citrix ADC.
Los ciberdelincuentes dejaron las instrucciones de cómo descifrar los archivos en un sitio web filtrado, revelando datos de las víctimas que se negaron a pagar el rescate no obstante la amenaza de revelar los datos robados. Las víctimas son de varios países, entre ellos los EE. UU., Turquía, Francia, España, Estonia e Italia.
En el sitio de filtración sólo se encuentra un breve texto que enlaza con un archivo que consta de la llave maestra y los binarios asociados que lo acompañan para poder usarlo.
El experto en ransomware Michael Gillespie confirmó a BleepingComputer que el descifrador de Ragnarok contiene la llave maestra de descifrado, lo que convierte a la utilidad en un descifrador maestro que se puede usar para desbloquear archivos con varias extensiones de ransomware Ragnarok.
La banda del ransomware Ragnarok estuvo activa desde finales de 2019 a principios de 2020, dirigiendo sus esfuerzos malintencionados mediante el uso de exploits de vulnerabilidades con el fin de violar la red de la empresa víctima. Una vez logrado esto, saltar a redes internas y bloquear mediante cifrado los servidores y estaciones de trabajo.
Los expertos de seguridad están analizando el descifrador con el propósito de publicar un descifrador universal para el ransomware Ragnarok, que estará disponible en Emsisoft, una compañía famosa por ayudar a las víctimas de ransomware con el descifrado de datos.