Grupo internacional cierra y arresta a líder de ransomware RagnarLocker

Operación internacional de aplicación de la ley cierra el grupo de ransomware RagnarLocker y libera su clave de descifrado

Un grupo internacional de agencias de aplicación de la ley ha interrumpido la notoria operación de ransomware RagnarLocker.

El portal de la web oscura utilizado por el grupo para extorsionar a sus víctimas mediante la publicación de sus datos robados ha sido incautado por una operación internacional de aplicación de la ley que involucra a agencias de Estados Unidos, la Unión Europea y Japón. Ahora, el portal muestra el mensaje: "Este servicio ha sido incautado como parte de una acción coordinada de aplicación de la ley internacional contra el grupo RagnarLocker".

Europol confirma la acción coordinada y el arresto del principal perpetrador

Europol ha anunciado el cierre de RagnarLocker y ha confirmado que se han tomado medidas coordinadas contra el grupo responsable de "numerosos ataques de alto perfil". Además, las autoridades han arrestado a un hombre de 35 años en París el 16 de octubre, a quien acusan de ser el "principal perpetrador" de la operación. Se realizaron registros en la casa del presunto desarrollador de RagnarLocker en la República Checa, y también se entrevistó a presuntos asociados del desarrollador en España y Letonia.

Incautación de la infraestructura y criptomonedas del grupo

La infraestructura de RagnarLocker también ha sido incautada en los Países Bajos, Alemania y Suecia. Según Eurojust, la agencia de la UE que coordina la cooperación en materia de justicia penal en el bloque, se han incautado un total de nueve servidores: cinco en los Países Bajos, dos en Alemania y dos en Suecia. Eurojust también informa que se han incautado diversas criptomonedas, aunque su valor actualmente es desconocido.

Las autoridades ucranianas colaboran en la operación

Las autoridades ucranianas, que formaron parte de la operación conjunta de 11 países, han anunciado por separado que sus agentes han registrado las instalaciones de otro sospechoso de RagnarLocker cerca de Kiev, y han recuperado ordenadores portátiles, teléfonos móviles y otros medios electrónicos.

RagnarLocker, un grupo de ransomware enfocado en sectores de infraestructura crítica

RagnarLocker es tanto el nombre de una cepa de ransomware como del grupo criminal que la desarrolla y opera. Este grupo, al que algunos expertos en seguridad han relacionado con Rusia, ha estado atacando a sus víctimas desde 2020, y ha dirigido principalmente sus ataques a organizaciones de los sectores de infraestructura crítica.

La policía italiana publica una imagen del registro en el domicilio del presunto desarrollador de RagnarLocker. Créditos de la imagen: Polizia di Stato (se abre en una nueva ventana)

Según una alerta publicada el año pasado por el FBI, se identificaron al menos 52 entidades estadounidenses de 10 sectores de infraestructura crítica, incluyendo manufactura, energía y gobierno, que habían sido afectadas por el ransomware RagnarLocker. Al mismo tiempo, el FBI publicó indicadores de compromiso asociados a RagnarLocker, incluyendo direcciones de Bitcoin utilizadas para recoger las demandas de rescate y direcciones de correo electrónico utilizadas por los operadores del grupo.

RagnarLocker exigió millones de dólares en criptomonedas a sus víctimas

En su anuncio del viernes, la policía de Ucrania informó que desde 2020 el grupo RagnarLocker había atacado y exfiltrado datos de 168 empresas internacionales en Europa y Estados Unidos. El grupo exigía entre 5 y 70 millones de dólares en criptomonedas a sus víctimas.

Si una víctima se negaba a pagar o notificaba a las autoridades de la intrusión, los hackers publicaban los datos de la víctima en el sitio web oscuro del grupo, que ahora ha sido incautado.

RagnarLocker atacó recientemente al hospital Mayanei Hayeshua de Israel

Aunque el grupo ha estado bajo la vigilancia de las autoridades durante algún tiempo, RagnarLocker ha estado atacando a sus víctimas incluso este mes, según el rastreador de ransomware Ransomwatch. En septiembre, el grupo se atribuyó la responsabilidad de un ataque al hospital Mayanei Hayeshua de Israel y amenazó con filtrar más de un terabyte de datos supuestamente robados durante el incidente.