袭击日本游戏开发商卡普空的勒索软件Ragnarok宣布关闭并公布密钥
2020年4月葡萄牙能源巨头EDP遭到勒索软件团伙袭击并丢失10TB数据,勒索软件团伙威胁称如果EDP不支付1090万美元的赎金那这些数据都会被公开。同年11月,知名游戏开发商卡普空(CAPCOM)遭到该勒索软件团伙的袭击,勒索软件团伙盗取39万名黑客、业务合作伙伴和其他外部方的个人数据。
而这个勒索软件团伙运营的就是臭名昭著的勒索软件Ragnarok,有时候该勒索软件也被称为Asnarok。日前该勒索软件团伙决定退出市场并公布所有解密解密,如果受害者没有销毁被加密后的数据那现在可以使用这些密钥将所有文件恢复。当然考虑到时间已经过去这么久,现在即便能够恢复数据也没有太大意义,因为这些受害者肯定早已使用其他方法恢复数据。
Ragnarok的策略与当前多数勒索软件团伙的方式相同 — 先潜伏并收集企业的所有数据、无论是否是重要数据,然后将所有数据使用RSA2048及以上算法进行加密并彻底删除原始数据,接下来再向受害者发出勒索信要求企业支付高额赎金换取密钥,如果不支付赎金的话不仅数据被加密无法恢复而且被窃取的私密数据也会被公开。
上周Ragnarok在暗网发布消息称该团队决定退出勒索软件市场,同时公开所有受害企业的加密密钥 — 共有12家企业遭到攻击,这些企业来自法国、爱沙尼亚、斯里兰卡、土耳其、泰国、美国、马来西亚、中国香港、西班牙以及意大利,行业方面从制造业到法律服务业均有。
Ragnarok通常会向企业开出数千万元的赎金,如果所有受害者都支付赎金的话这可能会高达数亿美元,不过目前没有证据表明已经有Ragnarok受害者向该勒索软件团伙支付赎金,所有受害者都靠自己的力量重新恢复数据或重建数据,也就是说Ragnarok没有从中获得收益。
勒索软件专家Michael Gillespie对Ragnarok发布的解密器进行了验证,经验证该团伙公布的主密钥是有效的,可以通过主密钥解密所有被加密的文件,这类被加密的文件后缀为 .thor 以及其他相关的。
对有技术能力的企业来说如果有需要可以直接通过该解密器将被加密的文件恢复,如果没有技术能力也可以使用第三方公司开发的解密器进行解密,目前安全软件开发商Emsisoft正在利用主解密器制作便于使用的解密工具。
值得注意的是Ragnarok并不是今年第一个退出市场的勒索软件团伙,2月初蓝点网报道了Fonix内部发生动乱,其管理员直接在Telegram频道公布了主密钥可以用于解密;3月份ZIGGY宣布关闭并公布解密密钥,同时如果受害者已经支付赎金的话那现在还可以申请退款。
问题来了:这些勒索软件团伙为何会主动选择关闭并退出市场呢?
勒索软件经过这些年的发展已经形成较为完整的黑色产业链,在暗网里有人负责开发并售卖勒索软件,有人负责在网上传播勒索软件,甚至是没有技术能力的黑产分子也可以购买勒索软件简单配置后使用。然而面向个人的勒索软件现在已经赚不到钱 — 因为大多数用户对恢复数据完全没兴趣,大不了重装系统。
因此越来越多的勒索软件开始专业化并具有针对性的面对企业发起攻击,Ragnarok就是其中之一。尽管确实有勒索软件通过针对性攻击获得赎金,但现在愿意支付赎金的用户越来越少,不少企业已经有安全意识开始备份数据防范此类攻击。
更重要的是勒索软件的猖狂也引起全球各国执法机构的严查,包括欧洲刑警组织和美国联邦调查局都在追捕各类勒索软件的线索。对黑客来说自己是否被追捕其实是无法得知的,如果已经上了通缉名单,那可能会在欧洲或美国某个机场路过就被直接逮捕,到时候不论是否获得赎金都可能会被判刑。
预计未来还会有更多小型勒索软件团伙关闭,但更加专业化的主要发起针对性攻击的黑客集团也不会少,所以不论是企业还是个人都应该做好数据保护工作。