Um grupo internacional de agências de aplicação da lei interrompeu a notória operação de ransomware RagnarLocker.
O TechCrunch informou na quinta-feira que uma operação internacional de aplicação da lei envolvendo agências dos EUA, União Europeia e Japão apreendeu o portal dark web do grupo RagnarLocker. O portal, que a gangue usou para extorquir suas vítimas publicando seus dados roubados, agora diz: “Este serviço foi apreendido por parte de uma ação coordenada de aplicação da lei internacional contra o grupo RagnarLocker”.
Anunciando a queda na sexta-feira, a Europol confirmou que tomou medidas coordenadas contra o RagnarLocker, que afirma ter sido responsável por “numerosos ataques de alto perfil”. A agência policial europeia confirmou também a detenção de um homem de 35 anos em Paris, no dia 16 de outubro, que as autoridades acusam de ser o “principal autor” da operação. As autoridades revistaram a casa do suposto desenvolvedor do RagnarLocker na República Tcheca. Supostos associados do promotor também foram entrevistados em Espanha e na Letónia.
A infraestrutura do RagnarLocker também foi apreendida na Holanda, Alemanha e Suécia. De acordo com a Eurojust, a agência da UE que coordena a cooperação em justiça criminal em todo o bloco, foram apreendidos um total de nove servidores: cinco na Holanda, dois na Alemanha e dois na Suécia. A Eurojust também informa que apreendeu várias criptomoedas, embora o seu valor seja atualmente desconhecido.
As autoridades ucranianas, que fizeram parte da operação em 11 países, afirmaram num comunicado separado anúncio na sexta-feira que seus agentes revistaram as instalações de outro suspeito do RagnarLocker perto de Kiev e recuperaram laptops, telefones celulares e outras mídias eletrônicas.
Num comunicado de imprensa, a Polizia di Stato (Polícia Estatal) italiana confirmou o seu envolvimento no esforço internacional coordenado, que chamou de “Operação Toupeira”. A agência italiana de aplicação da lei também publicou um vídeo que mostra imagens de uma operação conduzida por agentes policiais franceses, italianos e checos, presumivelmente na casa do homem de 35 anos que tinham detido.
RagnarLocker é o nome de uma variedade de ransomware e do grupo criminoso que o desenvolve e opera. A gangue, que alguns especialistas em segurança têm ligações à Rússia, têm sido observados como alvo de vítimas desde 2020 e atacaram predominantemente organizações nos setores de infraestruturas críticas.
Num alerta publicado no ano passado, o FBI alertou que tinha identificado pelo menos 52 entidades dos EUA em 10 sectores de infra-estruturas críticas, incluindo indústria transformadora, energia e governo, que tinham sido afectadas pelo ransomware RagnarLocker. Ao mesmo tempo, o FBI lançado indicadores de comprometimento associados ao RagnarLocker, incluindo endereços Bitcoin usados para coletar pedidos de resgate e endereços de e-mail usados pelos operadores da gangue.
No seu anúncio de sexta-feira, a polícia da Ucrânia disse que desde 2020 o grupo RagnarLocker atacou e exfiltrou dados de 168 empresas internacionais na Europa e nos Estados Unidos. O grupo exigiu entre US$ 5 e US$ 70 milhões de dólares em criptomoedas de suas vítimas.
Se a vítima se recusasse a pagar ou notificasse as autoridades sobre a invasão, os hackers publicariam os dados da vítima no dark web site do grupo, já apreendido.
“Ragnar Locker alertou explicitamente suas vítimas contra o contato com as autoridades, ameaçando publicar todos os dados roubados de organizações vitimadas que buscavam ajuda em seu site de vazamento ‘Muro da Vergonha’ na dark web”, disse a Europol na sexta-feira. “Mal sabiam eles que a aplicação da lei estava se aproximando deles.”
Embora a gangue esteja sob o olhar atento das autoridades há algum tempo, o RagnarLocker tem como alvo as vítimas recentemente neste mês, de acordo com o rastreador de ransomware Observação de resgate. Em setembro, a gangue assumiu a responsabilidade por um ataque ao hospital Mayanei Hayeshua, em Israel, e ameaçou vazar mais de um terabyte de dados supostamente roubados durante o incidente.
Lorenzo Franceschi-Bicchierai contribuiu com reportagem e redação. Este artigo foi publicado pela primeira vez em 19 de outubro e atualizado com novos detalhes e comentários da Europol e da Polizia di Stato (Polícia Estadual) da Itália.