Dekrypteringsværktøjer til LockerGoga ransomware udgivet

Resultatet af en razzia i 2021 lønner sig.

Cybersikkerhedsfirmaet Bitdefender har fredag offentliggjort dekryptering til LockerGoga ransomware, der er bedst kendt for sit 2019-angreb på den norske aluminiumsgigant Norsk Hydro. Udviklingen af dekrypteringen er skabt med hjælp fra Europol, myndigheder i Schweitz og NoMoreRansom-projektet.

Det skriver The Record.

Private nøgler blev fundet da man undersøge data, der blev indsamlet under en razzia i oktober 2021, hvor Europol arbejdede sammen med myndigheder fra Norge, Frankrig, Holland, Ukraine, Storbritannien, Tyskland, Schweiz og USA om at arrestere 12 personer, der angiveligt var medlemmer af gruppen.

Selv dekrypteringsnøglerne er angiveligt kommet fra en specifik aktør, som i øjeblikket er tilbageholdt i Zürich og står over for en række anklager om hacking og hvidvaskning af penge. Sammen med partnerorganisationer har anklagemyndigheden i Schweitz brugt hoveddekrypteringsnøglen til at skabe en universel dekryptering. Den er tilgængelig på flere websteder og kan scanne systemer, før den automatisk dekrypterer eventuelle låste filer, skriver The Record.

Stor gruppe dengang

LockerGoga ransomware har påført skader for 104 millioner dollars, og ifølge anklagemyndigheden i Zürich er gerningsmændene anklaget for at være involveret i ransomware-angreb på over 1.800 mennesker og institutioner i 71 lande. Gruppen er også anklaget for at stå bag andre ransomware-stammer som MegaCortex og Dharma. Anklagemyndighederne oplyser, at en dekryptering til ofre for MegaCortex vil blive frigivet i de kommende måneder.

Gruppen bag ransomwaren har ikke været aktiv siden oktober 2021, hvor razziaen fandt sted.

LockerGoga var aktiv i en tid, hvor der ikke skete dobbeltafpresning via afpresningssteder, og gruppen brugte ujje ransomware-as-a-service-modellen. Gruppen blev ifølge The Record betragtet som ’third layer’-ransomware-gruppe, for selvom de havde nogle angreb i stor skala på samvittigheden, havde de ikke samme kapacitet, som RaaS tilbyder.

LockerGoga havde angiveligt base i Rumænien.

Links:

https://therecord.media/bitdefender-europol-swiss-police-publish-decryptor-for-lockergoga-ransomware/