Europol anunció el viernes el desmantelamiento de la infraestructura asociada con el Ransomware Ragnar Locker, junto con el arresto de un “objetivo clave” en Francia.
“En una acción llevada a cabo entre el 16 y el 20 de octubre, se realizaron registros en La República Checa, España y Letonia”, dijo la agencia. “El principal perpetrador, sospechoso de ser un desarrollador del grupo Ragnar, ha sido llevado ante los jueces de instrucción del Tribunal Judicial de París”.
Se dice que otros cinco cómplices asociados con la banda de ransomware han sido entrevistados en España y Letonia, y los servidores y el portal de filtración de datos incautados en los Países Bajos, Alemania y Suecia.
Ragnar Locker, que surgió por primera vez en diciembre de 2019, es conocido por una serie de ataques dirigidos a entidades de infraestructura crítica en todo el mundo. Según Eurojust, el grupo ha cometido ataques contra 168 empresas internacionales en todo el mundo desde 2020.
“Se sabía que el grupo Ragnar Locker empleaba una doble táctica de extorsión, exigiendo pagos exorbitantes por las herramientas de descifrado, así como por la no publicación de los datos confidenciales robados”, dijo Europol.
Adam Meyers, jefe de Operaciones de Contraadversarios de CrowdStrike, describió a Ragnar Locker (también conocido como Viking Spider) como “uno de los primeros adversarios del ransomware Big Game Hunting en aprovechar la amenaza de publicación de datos robados en un [sitio de fuga de datos] para presionar a las víctimas”.
La Policía Cibernética de Ucrania dijo que realizó redadas en las instalaciones de uno de los presuntos miembros en Kiev, confiscando computadoras portátiles, teléfonos móviles y medios electrónicos.
La acción policial coincide con la infiltración y cierre del sitio de fugas del grupo de ransomware Trigona y la filtración de 10 de los servidores, no sin antes filtrar los datos almacenados en ellos. Hay evidencia que sugiere que los actores de Trigona utilizaron Atlassian Confluence para sus actividades.
Al igual que el desmantelamiento de Hive y Ragnar Locker representa los esfuerzos continuos para hacer frente a la amenaza del ransomware, también lo son las iniciativas emprendidas por los actores de amenazas para evolucionar y cambiar de marca con nuevos nombres. Hive, por ejemplo, ha resurgido como Hunters International.
El desarrollo se produce cuando la Oficina Central de Investigación de la India, basándose en la información compartida por Amazon y Microsoft, dijo que allanó 76 ubicaciones en 11 estados en una ofensiva nacional destinada a desmantelar la infraestructura utilizada para facilitar los delitos financieros cibernéticos, como las estafas de soporte técnico y el fraude de criptomonedas.
El ejercicio, cuyo nombre en clave es Operación Chakra-II, condujo a la incautación de 32 teléfonos móviles, 48 ordenadores portátiles y discos duros, imágenes de dos servidores, 33 tarjetas SIM y pendrives, así como el volcado de 15 cuentas de correo electrónico.
