Kötü şöhretli çifte şantaj tekniğinin ilk ve hevesli öncülerinden biri olan RagnarLocker fidye yazılımı topluluğu, giderek artan uluslararası kolluk kuvvetleri dalgasının en son “kurbanı” oldu ve FBI tarafından koordine edilen bir operasyonla 19 Ekim Perşembe günü karanlık ağdan kayboldu. ve Avrupa Birliği’nin (AB’nin) Europol ajansı.
Operasyonda RagnarLocker’ın Tor’daki müzakere ve veri sızıntısı sitelerine el konuldu ve bunların yerine grubun çevrimdışına alındığını belirten bir mesaj konuldu.
Operasyonun tüm detayları henüz ortaya çıkmadı ve Computer Weekly, Europol’ün 20 Ekim Cuma günü daha sonra resmi bir açıklama yapmayı planladığını anlıyor. Bir ajans sözcüsü ajansın katılımını doğruladı ancak bu yazının yazıldığı sırada daha fazla yorum yapmaktan kaçındı.
RagnarLocker ilk kez 2019’un sonu ve 2020’nin başında, Kovid-19 salgınının başlangıcından hemen önce birkaç ay içinde dikkatleri üzerine çekti. O zamanlar fidye yazılımı ortamı, diğerlerinin yanı sıra REvil/Sodinokibi gibi yazılımların hakimiyetindeydi ve artık standart olan çifte şantaj modeli, fidye yazılımı saldırılarında bir faktör olarak yeni yeni ortaya çıkmaya başlıyordu.
RagnarLocker bu tekniğin coşkulu bir öncüsüydü ve tarihinin başlarında, kurbanlarından o zamanlar çok büyük fidye talepleri gerçekleştirdi; diğerlerinin yanı sıra, içecek şirketi Campari’den 15 milyon dolara şantaj yapmak ve Resident Evil geliştirici Capcom’a 11 milyon dolar ödedi, ancak bu meblağlar o zamandan beri diğer karteller tarafından gölgede bırakıldı.
RagnarLocker’ı Viking Spider olarak takip eden Crowdstrike’ın karşı düşman operasyonları başkanı Adam Meyers şunları söyledi: “Viking Spider, çalınan verilerin bir DLS’ye yayınlanması tehdidinden yararlanan ilk Big Game Hunting fidye yazılımı rakiplerinden biridir. [dark web leak site] mağdurlara baskı yapmak. Viking Spider, faaliyet gösterdiği dönemde 27 sektörden yüzün üzerinde kurbanı DLS’lerine gönderdi. CrowdStrike Intelligence, bu operasyonun orta vadede Viking Spider operasyonlarını ciddi şekilde etkileyeceğini değerlendiriyor. Bu değerlendirme, diğer benzer operasyonların etkinliği göz önüne alındığında orta düzeyde bir güvenle yapılmıştır.”
RagnarLocker ayrıca, soyunma yüklerini kötü amaçlı bir sanal makinenin sanal sabit diskine dağıtmak gibi yeni fidye yazılımı dağıtım tekniklerini tanıtarak teknolojik yenilikleri kavramasıyla da tanınıyordu. Bu taktik başkaları tarafından da benimsendi; özellikle RagnarLocker’ın bir noktada LockBit ile birlikte bir fidye yazılımı süper grubunda bir araya geldiği Maze operasyonu.
Düşük hacimli ancak tutarlı
Orange Cyberdefense’in baş güvenlik araştırmacısı Diana Selck-Paulsson, RagnarLocker’ın uzun geçmişi göz önüne alındığında bu kaldırmanın önemli olduğunu söyledi. Çete, faaliyetlerine yavaş ve istikrarlı bir yaklaşımla yaklaşma eğilimindeydi; diğerlerine kıyasla nispeten düşük faaliyet hacmine sahipti ancak tutarlıydı; bu da onu siber suç yeraltındaki en uzun ömürlü operatörlerden biri haline getiriyor; bu tür bir grup için alışılmadık bir başarı. hızlı hareket eden bir ekosistem.
Diğer taraftan Selck-Paulsson, RagnarLocker’ın mağdurlara yaklaşımı ve onlara karşı kullandığı taktikler açısından benzer davranışlar sergilediğini söyledi.
“Sızıntı siteleri konusunda oldukça inatçı oldukları ve eylemlerini çoğunlukla ‘veri gizliliği ve güvenliği’ adına meşrulaştırdıkları biliniyor” dedi. “Geçmişte kurbanlarını kolluk kuvvetleri veya kurtarma şirketleriyle işbirliği yapmamaları konusunda uyardılar, çalınan verileri derhal sızdırmakla tehdit ettiler, ancak aynı zamanda kurtarma şirketlerinin ve müzakerecilerinin ne kadar açgözlü olduklarını göstererek faaliyetlerini daha iyi bir ışık altında tasvir ettiler.
“Bu, siber şantaj alanındaki tehdit aktörlerinde gözlemlediğimiz, etkisizleştirme tekniklerini uygulayan ve böylece suça karışmayı görünürde daha kabul edilebilir kılmak için eylemlerini meşrulaştıran çok yaygın bir plandır.
“’Hakkımızda’ sayfalarında şu ifadeler yer alıyor: ‘Biz Ragnar_Locker Ekibiyiz ve siber güvenlik meraklısı, kriptopunklar, girişimciler ve işadamlarıyız. Ana amacımız, gücünü tüm ihtişamıyla gösterebilecek ve elbette kar elde edebilecek harika bir proje yaratmaktır’.
“‘Ragnar Ekibi, kimsenin işine veya kişisel olarak büyük bir zarar vermeyi amaçlamıyor, ancak gerekli olursa hiç şüphe yok ki söz verdiğimizi yapacağız ve sonuçları felaket olacak, bu yüzden burada şakaya gerek yok’.”
Hikayenin sonu değil
ESET’in küresel siber güvenlik danışmanı Jake Moore şunları ekledi: “Europol tarafından yapılacak herhangi bir saldırı hem önemli hem de etkileyici olarak değerlendirilmelidir, ancak bu özellikle Rusya bağlantıları ve polisin karşılaştığı zorluklar nedeniyle öne çıkıyor.
“Önceden, RagnarLocker Mağdurları fidye talepleri konusunda polise veya FBI’a başvurmamaları konusunda uyardı ve bunu yapmaları halinde verilerin ifşa edileceği tehdidinde bulundu. Mali motivasyonları genellikle çok açıktır ve müzakereye yer yoktur.”
Ancak, yayından kaldırmanın muhtemelen hikayenin sonu olmayacağını da sözlerine ekledi. “RagnarLocker tipik bir hizmet olarak fidye yazılımı değil [RaaS] operatörü,” dedi Moore. “Çete, veri şifrelemeye değil, çoğunlukla veri hırsızlığına odaklanıyor, bu nedenle muhtemelen kurbanlarına şantaj yapmak için yeni bir kanal kuracaklar.
“Ve tutuklamalar olmadığında, bunun arkasındaki suçluların kötü niyetli faaliyetlerine devam etme fırsatına sahip olduklarına şüphe yok.”