Ransomwarové skupiny Trigona a Ragnar Locker dopadeny

Zpět na blog

V kyberprostoru je zase o něco bezpečněji, neboť skončily dvě nechvalně proslulé skupiny – Trigona a Ragnar Locker.

V případě Trigony byl stažen obsah jejího webu dark web naming-and-shaming victim a nahrazen bannerem hlásajícím: „Trigona je pryč! Servery ransomwarového gangu Trigona byly infiltrovány a zlikvidovány“. Organizace, která si říká Ukrajinská kybernetická aliance, si připsala zásluhy. V příspěvku na sociálních sítích uživatel, který se vydával za tiskového mluvčího Ukrajinské kybernetické aliance, uvedl, že se Ukrajinská kybernetická aliance zaměřuje na ransomwarové skupiny částečně proto, že se považují za nedostižné.

„Právě jsme našli jeden takový gang a udělali s ním to, co dělají s ostatními. Stáhli jsme jejich servery (deset z nich), všechno smazali a znehodnotili. Celá jejich infrastruktura je úplně v háji,“ uvedl.

Trigona se poprvé objevila v roce 2022 a měla úzké vazby na skupiny ransomwaru jako CryLock a BlackCat a volnější vazby na ALPHV. Útočila především na společnosti v USA a Indii, následoval Izrael, Turecko, Brazílie a Itálie. Byl známý tím, že napadal servery MySQL, často pomocí hrubého vynucování hesel. V červnovém profilu skupiny, který vypracovali výzkumníci z bezpečnostní firmy Trend Micro, bylo uvedeno, že technická vyspělost skupiny často kolísá.

Časová osa útoku na základě příspěvků na sociálních sítích naznačuje, že narušení začalo zhruba před pár dny, kdy došlo k nabourání serveru Confluence, který členové Trigony používali ke spolupráci. V rozhovoru pro Record Ukrajinská kybernetická aliance uvedla, že plánuje předat zabavená data orgánům činným v trestním řízení.

Akce, která se připravovala dva roky

Padl rovněž gang Ragnar Locker, který se naboural do mnoha organizací po celém světě. O akci informoval Europol. Mezi 16. a 20. říjnem byly provedeny prohlídky v Česku, Španělsku a Lotyšsku. „Klíčový cíl“ této skupiny byl 16. října zatčen v Paříži ve Francii a jeho dům v Česku byl prohledán. V následujících dnech bylo ve Španělsku a Lotyšsku vyslechnuto pět podezřelých. Na konci týdne byl hlavní pachatel, podezřelý z toho, že je vývojářem skupiny Ragnar, předveden před vyšetřující soudce pařížského soudního dvora.

Infrastruktura ransomwaru byla zabavena také v Nizozemsku, Německu a Švédsku a ve Švédsku byla zrušena webová stránka využívaná pro expozici úniklých dat.

Ragnar Locker se objevil v roce 2019 a rychle se proslavil útoky na organizace v různých odvětvích, včetně zdravotnictví, státní správy, technologií, financí, vzdělávání a médií. Jde o takzvaný RaaS (ransomware jako služba), v němž hlavní členové vyvíjejí šifrovací software, provozují centrální server a poté spolupracují s přidruženými skupinami. Další pak napadají oběti a zisky se dělí mezi obě skupiny.

V příspěvku Europolu se uvádí, že členové skupiny Ragnar Locker varovali oběti, aby nekontaktovaly úřady, protože by tím jen „znepříjemnily situaci“.

Lidé z Europolu spolu s FBI a ukrajinskými úřady skupinu vyšetřovali od roku 2021 a jejich snahy vyvrcholily likvidací gangu.

Zdroj: Arstechnica.com

Zdroj ilustračního obrázku: niu niu on Unsplash

30. 10. 2023