Els ciberdelinqüents no es detenen i continuen creant noves i sofisticades armes per cometre ciberdelictes.

INCIBE informa de l’existència de la primera mostra del ransomware Ragnarok, també conegut com Asnarok. Els informes d’amenaces sobre aquest programari maliciós van sorgir per primera vegada l’1 de gener de 2020, encara que ara s’ha descobert que la seva activitat es remunta a les acaballes del 2019.

Ragnarok ha estat un dels ransomware més perillosos i lucratius dels darrers anys. Els seus operadors seguien un model de negoci ben estructurat, apuntant a grans entitats amb l’objectiu de maximitzar la probabilitat de rebre pagaments. Utilitzaven la doble extorsió com a tàctica, amenaçant d’esborrar i divulgar les dades compromeses tret que s’efectués un pagament.

No obstant això, l’agost del 2021, les activitats dels operadors de Ragnarok van cessar de sobte. Sorprenentment, van alliberar les seves claus privades juntament amb instruccions per desxifrar les dades compromeses. Encara que els motius darrere d’aquesta acció encara no es coneixen, alguns experts especulen que podria ser una estratègia per evitar l’atenció de les forces de l’ordre o apuntar a regions més propenses a pagar rescats.

El ransomware Ragnarok feia servir una sèrie de característiques i tècniques per evadir la detecció i recuperar-se dels sistemes afectats. Entre elles s’inclouen:

• L’eliminació d’arxius inicials del programari maliciós i el seu funcionament en la memòria per a evitar la detecció.
• La desactivació de Windows Defenser i els tallafocs de Windows per evitar la detecció i el bloqueig de connexions de xarxa.
• L’eliminació de les shadow copies, que són instantànies de còpies de seguretat preses per Windows. Serveixen per evitar la restauració del sistema a un estat previ a la infecció.
• La desactivació dels modes de recuperació i a prova d’errors per evitar que el sistema pugui iniciar-se en aquestes modes.

El procés de xifratge del ransomware Ragnarok també era altament sofisticat. Utilitzava un mètode d’autoinjecció per desempaquetar una llibreria DLL anomenada cry_demo.dll, que contenia el codi i la lògica necessaris per executar el xifratge dels arxius de les víctimes. El ransomware xifrava els arxius seleccionats mitjançant l’algorisme AES 256 amb una clau simètrica generada aleatòriament. Després, xifrava aquesta clau simètrica fent ús de l’algorisme RSA 4096 i la clau pública corresponent, la qual cosa dificultava encara més el procés de desxifrat.

Quant a la propagació i infecció, Ragnarok aprofitava dos vectors d’atac principals. El primer era al path traversal a Citrix ADC (CVE-2019-19781), que permetia l’execució de codi arbitrari al host. El segon vector era la injecció SQL al Tallafoc Sophos (CVE-2020-12271), que permetia descarregar i executar arxius maliciosos per propagar l’amenaça a través de la xarxa.

Per a prevenir els atacs de Ragnarok i altres amenaces similars, és fonamental mantenir els sistemes actualitzats amb les actualitzacions de seguretat més recents i realitzar còpies de seguretat regularment. La conscienciació en ciberseguretat i l’adopció de bones pràctiques són clau per protegir-se contra aquestes amenaces en constant evolució.

Si bé l’alliberament de les claus privades de Ragnarok i les eines de desxifrat ofereixen una certa esperança a les víctimes, és important recordar que la prevenció continua sent la millor defensa contra el ransomware. La història de Ragnarok és un recordatori contundent de com les amenaces cibernètiques poden sorgir, evolucionar i eventualment esvair-se, només per donar pas a noves amenaces.