Một nhóm tin tặc nổi danh dường như đã 'giải nghệ' sau khi công khai khóa giải mã cho nạn nhân từng dính ransomware

Không một lời giải thích, nhóm tin tặc ransomware nổi danh mang tên Ragnarok dường như đã biến mất, sau khi công khai phát hành một khóa giải mã có thể giải mã bất kỳ tệp tin nào từng bị khóa bởi ransomware của nhóm. Không biết liệu Ragnarok có thực sự giải nghệ hay chỉ đơn giản là lui vào bóng tối để lên kế hoạch cho một đợt tấn công bất ngờ hơn trong tương lai.

BleepingComputer lần đầu tiên đưa tin về sự mất tích của nhóm hacker này, sau khi nhận thấy trang web chuyên đưa thông tin nạn nhân của Ragnarok đã bị xóa. Theo công ty bảo mật HackNotice, từ tháng 7 đến giữa tháng 8 năm nay, Ragnarok đã liệt kê hàng chục nạn nhân trên trang web của mình từ nhiều quốc gia. Đây là những người bị đánh cắp tệp tin và các tệp này có nguy cơ bị rò rỉ nếu nạn nhân không trả tiền chuộc.

"Bây giờ, tất cả những gì còn lại chỉ là một liên kết đến một tệp chứa khóa giải mã chính cho các ransomware của chúng", Michael Gillespie, một chuyên gia trong lĩnh vực ransomware cho biết.

Ông cũng xác nhận rằng khóa giải mã trên trang web có thể mở khóa bất kỳ tệp nào có phần mở rộng liên kết với nhóm Ragnarok. Một công ty bảo mật khác, Emsisoft, cũng vừa phát hành bộ công cụ hỗ trợ của riêng mình cho các tệp bị khóa bằng ransomware của Ragnarok.

Sau khi biến mất, Ragnarok để lại một khóa giải mã miễn phí cho các nạn nhân.

Theo các báo cáo, nhóm Ragnarok xuất hiện lần đầu tiên vào tháng 1/2020 khi tấn công máy chủ Citrix ADC, thậm chí cố gắng vô hiệu hóa Windows Defender.

Một nhóm tin tặc ransomware khác dường như đã quyết định giải nghệ trong năm nay là Darkside, nhóm chịu trách nhiệm về cuộc tấn công Colonial Pipeline. Tuy nhiên, một số công ty bảo mật nghi ngờ tính trung thực của những kế hoạch "nghỉ hưu" này.

Công ty tình báo tội phạm mạng Intel471 cáo buộc các nhóm ransomware đã biến mất, đưa ra lời xin lỗi cộng đồng hoặc thông báo sửa đổi chính sách làm việc của mình có thể đang cố gắng tìm cách rút lui khỏi sự chú ý của các phương tiện truyền thông xung quanh các cuộc tấn công ransomware. Và mục đích cuối cùng chỉ để sau đó tiếp tục các cuộc tấn công tiếp theo dưới một cái tên mới.

Nhóm Darkside trước đó đã đưa ra lời xin lỗi khi tuyên bố ngừng hoạt động vào tháng 5, còn Ragnarok cho đến nay vẫn chưa đưa ra bất kỳ tuyên bố nào.

Tham khảo Techspot