Europol démantèle l'infrastructure du ransomware Ragnar Locker et attrape un développeur clé

Europol a annoncé vendredi le démantèlement de l’infrastructure associée au ransomware Ragnar Locker, ainsi que l’arrestation d’une « cible clé » en France.

« Au cours d’une action menée entre le 16 et le 20 octobre, des perquisitions ont été menées en Tchéquie, en Espagne et en Lettonie », a indiqué l’agence. « L’auteur principal, soupçonné d’être un développeur du groupe Ragnar, a été déféré devant les juges d’instruction du tribunal judiciaire de Paris. »

Cinq autres complices associés au gang des ransomwares auraient été interrogés en Espagne et en Lettonie, tandis que les serveurs et le portail de fuite de données auraient été saisis aux Pays-Bas, en Allemagne et en Suède.

Cet effort est le dernier exercice coordonné impliquant les autorités de la Tchéquie, de la France, de l’Allemagne, de l’Italie, du Japon, de la Lettonie, des Pays-Bas, de l’Espagne, de la Suède, de l’Ukraine et des États-Unis. Deux suspects associés à l’équipe du ransomware avaient déjà été arrêtés en Ukraine en 2021. un an plus tard, un autre membre a été appréhendé au Canada.

Ragnar Locker, apparu pour la première fois en décembre 2019, est connu pour une série d’attaques ciblant des entités d’infrastructures critiques à travers le monde. Selon Eurojust, le groupe a commis des attaques contre 168 entreprises internationales dans le monde depuis 2020.

« Le groupe Ragnar Locker était connu pour employer une double tactique d’extorsion, exigeant des paiements exorbitants pour les outils de décryptage ainsi que pour la non-divulgation des données sensibles volées », a déclaré Europol.

La cyberpolice ukrainienne a déclaré avoir mené des perquisitions dans les locaux de l’un des membres présumés à Kiev, confisquant des ordinateurs portables, des téléphones portables et des médias électroniques.

L’action des forces de l’ordre coïncide avec l’infiltration et la fermeture par la Cyber Alliance ukrainienne (UCA) du site de fuite géré par le groupe de ransomware Trigona et l’effacement de 10 des serveurs, mais pas avant d’avoir exfiltré les données qui y sont stockées. Il existe des preuves suggérant que les acteurs de Trigona d’occasion Atlassian Confluence pour leurs activités.

Tout comme le démantèlement de Hive et Ragnar Locker représente des efforts continus pour lutter contre la menace des ransomwares, les initiatives entreprises par les acteurs de la menace pour évoluer et changer de nom sous de nouveaux noms le sont également. Hive, par exemple, a refait surface comme Hunters International.

Cette évolution intervient alors que le Bureau central d’enquête indien, sur la base d’informations partagées par Amazon et Microsoft, a déclaré avoir perquisitionné 76 sites dans 11 États dans le cadre d’une répression à l’échelle nationale visant à démanteler les infrastructures utilisées pour faciliter les crimes financiers cybernétiques tels que les escroqueries au support technique et la crypto-monnaie. fraude.

L’exercice, baptisé Opération Chakra-II, a conduit à la saisie de 32 téléphones portables, 48 ordinateurs portables/disques durs, des images de deux serveurs, 33 cartes SIM et clés USB, ainsi que la suppression de 15 comptes de messagerie.

Cela fait également suite à l’extradition de Sandu Diaconu, un ressortissant moldave de 31 ans, du Royaume-Uni vers les États-Unis pour faire face à des accusations liées à son rôle d’administrateur d’E-Root Marketplace, un site Web qui offrait l’accès à plus de 350 000 sites Web compromis. informations d’identification informatiques dans le monde entier pour les attaques de ransomwares, les virements électroniques non autorisés et la fraude fiscale.

Le site Internet, devenu opérationnel en janvier 2015, a été fermé en 2020 et Diaconu a été arrêté au Royaume-Uni en mai 2021 alors qu’il tentait de fuir le pays.

« Le marché E-Root opérait sur un réseau largement distribué et prenait des mesures pour cacher l’identité de ses administrateurs, acheteurs et vendeurs », a déclaré cette semaine le ministère américain de la Justice (DoJ).

« Les acheteurs pourraient rechercher des informations d’identification informatiques compromises sur E-Root, telles que l’accès RDP et SSH, en fonction de critères souhaités tels que le prix, l’emplacement géographique, le fournisseur de services Internet et le système d’exploitation. »

Dans le cadre d’une action en justice connexe, Marquis Hooper, un ancien responsable informatique de la marine américaine, a été condamné à cinq ans et cinq mois de prison pour avoir obtenu illégalement des informations personnelles identifiables (PII) sur 9 000 citoyens américains et les avoir vendues sur le dark web pour 160 000 dollars en dollars. bitcoin.

Europol démantèle l’infrastructure du ransomware Ragnar Locker et attrape un développeur clé

D’où, où aller — L’évolution de la sécurité réseau

Les failles de chiffrement dans l’application populaire en langue chinoise mettent en danger les données saisies des utilisateurs

La confiance dans la sécurité du téléchargement de fichiers est alarmante. Pourquoi?

9 vulnérabilités alarmantes découvertes dans les produits de gestion de l’alimentation de SEL

5 raisons pour lesquelles les outils de sécurité informatique ne fonctionnent pas pour OT

Des milliers de serveurs Openfire XMPP non corrigés toujours exposés à une faille de haute gravité

A lire également