De Tor-sites van de ransomwaregroep RagnarLocker zijn donderdagochtend in beslag genomen dankzij een internationale politieactie. De websites werden gebruikt voor ransomwareonderhandelingen en het lekken van gestolen data. Verschillende politiediensten uit de VS, Europa en Azië waren betrokken bij de operatie. Europol heeft de inbeslagname inmiddels bevestigd en ook de Politie in Nederland leverde een bijdrage.
De RagnarLocker-ransomwaregroep is al sinds eind 2019 actief en richt zich op grote bedrijven. De groep breekt in op bedrijfsnetwerken, verspreidt zich naar andere apparaten, steelt gegevens en versleutelt de computers. De groep gebruikt de versleutelde bestanden en gestolen gegevens om de slachtoffers onder druk te zetten om te betalen.
Statement Orange Cyberdefense
De inbeslagname van de Tor-websites is een cruciale stap omdat RagnarLocker een van de oudste cyberafpersingsgroepen is. Ze zijn actief sinds december 2019 en hebben zeer vermoedelijk banden met Rusland. Dit wordt duidelijk in de werkwijze van de ransomware. Deze stopt namelijk wanneer de ransomware merkt dat het slachtoffer zich in Rusland of een van de GOS-landen bevindt. Hierdoor wordt de groep vaak geassocieerd met Rusland en lijkt ze pro-Russische doelen na te streven. Een van de meest bekende slachtoffers was Campari, dat in 2020 afgeperst werd.
Begrip proberen te krijgen
De RagnarLocker-groep staat bekend om hun uitgesproken standpunten op hun leakwebsites, waarop ze vertrouwelijke, gestolen, of anderszins illegaal verkregen informatie op publiceren of lekken. Ze rechtvaardigen hun acties vaak onder het mom van 'dataprivacy en -security'. In het verleden hebben ze hun slachtoffers gewaarschuwd om niet samen te werken met wetshandhavingsinstanties of datarecoverybedrijven. Ze dreigden gestolen data onmiddellijk openbaar te maken en wezen ook op de vermeende hebzucht van datarecoverybedrijven en onderhandelaars. Dreigingsactoren op het gebied van cyberafpersing gebruiken vaak deze technieken om hun acties te rechtvaardigen of presenteren hun acties op een manier die minder schadelijk of meer acceptabel lijkt dan ze in werkelijkheid zijn. Hiermee proberen ze begrip of goedkeuring te genereren voor wat eigenlijk illegale activiteiten zijn. Ze hanteren strategieën om hun gedrag minder schadelijk te doen lijken dan het eigenlijk is.
Op hun website staat bij ‘over ons’ het volgende:
"Wij zijn het team achter RagnarLocker en we zijn cybersecurityfanaten, cryptopunks, ondernemers en zakenmensen. Ons voornaamste doel is om een cool project te ontwikkelen dat zijn volle potentieel kan laten zien en natuurlijk om winst te genereren.
Het Ragnar-team streeft er niet naar om enorme schade aan iemands bedrijf of persoonlijkheid te berokkenen. In het geval wij dat wel noodzakelijk achten, doen we wat we beloven en zullen de gevolgen rampzalig zijn, dus dit is geen grap."
Aantal slachtoffers
Vanuit onze uitgebreide Orange Cyberdefense-dataset van slachtoffers (n=8.948) blijkt dat slechts 1,5% van deze slachtoffers is getroffen door RagnerLocker. Sinds we data verzamelen, zijn er 104 slachtoffers geweest (voor zover wij weten). We vermoeden dat er nog veel meer slachtoffers zijn die nog niet zijn vermeld op hun leakwebsite.
Top 5 slachtoffers
Hoewel hun activiteit relatief beperkt is geweest, valt het op dat ze consistent actief zijn gebleven. Dit is opmerkelijk gezien de snelle veranderingen in het ecosysteem van cyberafpersingen. De impact van RagnarLocker is met name merkbaar bij organisaties in de Verenigde Staten, waar 38% van hun slachtoffers is gevestigd. Daarna volgen Canada (6%), Duitsland (5%), India (5%) en Maleisië (5%) als de top vijf getroffen landen. Interessant genoeg zien we wereldwijd dat India, ondanks het lage aantal slachtoffers, in het afgelopen jaar de grootste toename heeft gekend. Dit duidt erop dat cyberafpersingsoperaties zich steeds meer richten op landen waar Engels niet de voertaal is.
Gedurende de 3,5 jaar dat we RagnarLocker hebben geobserveerd, is hun activiteit het meest toegenomen in 2022. Dit is opmerkelijk gezien de algemene afname in dit soort activiteiten wereldwijd gedurende datzelfde jaar.
Jort Kollerie, Strategic Advisor bij Orange Cyberdefense
Statement CrowdStrike
“It's expected that on Friday, 20 October 2023 law enforcement agencies from the European Union, the U.S. and Japan will formally announce the seizure of RagnarLocker’s dedicated leak site (DLS). CrowdStrike tracks RagnarLocker as VIKING SPIDER who has been operating since at least December 2019. VIKING SPIDER is one of the first Big Game Hunting ransomware adversaries to leverage the threat of publication of stolen data to a DLS to pressure victims. In its period of activity, VIKING SPIDER posted over a hundred victims from 27 sectors to their DLS.
CrowdStrike Intelligence assesses that this operation will likely severely impact VIKING SPIDER operations in the medium term. This assessment is made with moderate confidence given the effectiveness of other similar operations.”
– Adam Meyers, head of Counter Adversary Operations, CrowdStrike