Europol heeft vrijdag de verwijdering aangekondigd van de infrastructuur die verband houdt met de Ragnar Locker-ransomware, naast de arrestatie van een ‘belangrijk doelwit’ in Frankrijk.
“Tijdens een actie die tussen 16 en 20 oktober werd uitgevoerd, werden huiszoekingen uitgevoerd in Tsjechië, Spanje en Letland”, aldus het agentschap. “De hoofddader, die ervan wordt verdacht een ontwikkelaar van de Ragnar-groep te zijn, is voor de onderzoeksrechters van het gerechtshof van Parijs gebracht.”
Vijf andere medeplichtigen die verband houden met de ransomwarebende zouden zijn geïnterviewd in Spanje en Letland, waarbij de servers en het datalekportaal in beslag zijn genomen in Nederland, Duitsland en Zweden.
De inspanning is de nieuwste gecoördineerde oefening waarbij autoriteiten uit Tsjechië, Frankrijk, Duitsland, Italië, Japan, Letland, Nederland, Spanje, Zweden, Oekraïne en de VS betrokken zijn. Twee verdachten die verband houden met de ransomware-ploeg werden eerder in 2021 uit Oekraïne gearresteerd. een jaar later werd in Canada een ander lid gearresteerd.
Ragnar Locker, dat voor het eerst verscheen in december 2019, staat bekend om een reeks aanvallen gericht op kritieke infrastructuurentiteiten over de hele wereld. Volgens Eurojust heeft de groep sinds 2020 aanvallen gepleegd op 168 internationale bedrijven wereldwijd.
“Het was bekend dat de Ragnar Locker-groep een dubbele afpersingstactiek hanteerde, waarbij buitensporige betalingen werden geëist voor decoderingstools en voor het niet vrijgeven van de gestolen gevoelige gegevens”, aldus Europol.
Adam Meyers, hoofd van Counter Adversary Operations bij CrowdStrike, beschreef Ragnar Locker (ook bekend als Viking Spider) als “een van de eerste Big Game Hunting-ransomware-tegenstanders die de dreiging van publicatie van gestolen gegevens benutten om een [data leak site] slachtoffers onder druk te zetten.”
De Oekraïense cyberpolitie zei dat ze invallen heeft gedaan in de gebouwen van een van de vermoedelijke leden in Kiev, waarbij laptops, mobiele telefoons en elektronische media in beslag zijn genomen.
De wetshandhavingsactie valt samen met het feit dat de Oekraïense Cyber Alliance (UCA) de leksite van de Trigona-ransomwaregroep infiltreert en afsluit en tien van de servers uitschakelt, maar niet voordat de gegevens die erop zijn opgeslagen zijn geëxfiltreerd. Er zijn aanwijzingen dat het Trigona-acteurs zijn gebruikte Atlassian Confluence voor hun activiteiten.
Net zoals de ontmanteling van Hive en Ragnar Locker voortdurende inspanningen vertegenwoordigt om de ransomware-dreiging aan te pakken, zo zijn de initiatieven van bedreigingsactoren om te evolueren en onder nieuwe namen te rebranden dat ook. Hive heeft dat bijvoorbeeld gedaan weer opgedoken als Hunters International.
De ontwikkeling komt op het moment dat India’s Central Bureau of Investigation, gebaseerd op door Amazon en Microsoft gedeelde informatie, zei dat het 76 locaties in 11 staten heeft overvallen in een landelijk optreden gericht op het ontmantelen van de infrastructuur die wordt gebruikt om financiële misdaden op internet mogelijk te maken, zoals oplichting met technische ondersteuning en cryptocurrency. fraude.
De oefening, met de codenaam Operation Chakra-II, leidde tot de inbeslagname van 32 mobiele telefoons, 48 laptops/harde schijven, afbeeldingen van twee servers, 33 simkaarten en pen-drives, evenals een dump van 15 e-mailaccounts.
Het volgt ook op de uitlevering van Sandu Diaconu, een 31-jarige Moldavische staatsburger, van Groot-Brittannië aan de VS, om te worden aangeklaagd in verband met zijn rol als beheerder van E-Root Marketplace, een website die toegang bood tot meer dan 350.000 gecompromitteerde websites. computerreferenties wereldwijd voor ransomware-aanvallen, ongeautoriseerde overboekingen en belastingfraude.
De website, die in januari 2015 operationeel werd, werd in 2020 offline gehaald en Diaconu werd in mei 2021 in Groot-Brittannië gearresteerd terwijl hij probeerde het land te ontvluchten.
“De E-Root Marketplace opereerde via een wijdverbreid netwerk en ondernam stappen om de identiteit van zijn beheerders, kopers en verkopers te verbergen”, zei het Amerikaanse ministerie van Justitie deze week.
“Kopers kunnen zoeken naar gecompromitteerde computerreferenties op E-Root, zoals RDP- en SSH-toegang, op basis van gewenste criteria zoals prijs, geografische locatie, internetprovider en besturingssysteem.”
In een gerelateerde wetshandhavingsactie werd markies Hooper, een voormalige IT-manager van de Amerikaanse marine, veroordeeld tot vijf jaar en vijf maanden gevangenisstraf wegens het illegaal verkrijgen van persoonlijk identificeerbare informatie (PII) van 9.000 Amerikaanse burgers en het verkopen ervan op het dark web voor $ 160.000 aan contant geld. bitcoin.
