Wouter Hoeffnagel - 20 oktober 2023

'Inbeslagname Tor-websites RagnarLocker is cruciale stap'

De inbeslagname van de Tor-websites is een cruciale stap omdat RagnarLocker een van de oudste cyberafpersingsgroepen is. Ze zijn actief sinds december 2019 en hebben zeer vermoedelijk banden met Rusland. Dit wordt duidelijk in de werkwijze van de ransomware. Deze stopt namelijk wanneer de ransomware merkt dat het slachtoffer zich in Rusland of een van de GOS-landen bevindt. Hierdoor wordt de groep vaak geassocieerd met Rusland en lijkt ze pro-Russische doelen na te streven. Een van de meest bekende slachtoffers was Campari, dat in 2020 afgeperst werd.

'Inbeslagname Tor-websites RagnarLocker is cruciale stap' image

Begrip proberen te krijgen

De RagnarLocker-groep staat bekend om hun uitgesproken standpunten op hun leakwebsites, waarop ze vertrouwelijke, gestolen, of anderszins illegaal verkregen informatie op publiceren of lekken. Ze rechtvaardigen hun acties vaak onder het mom van 'dataprivacy en -security'. In het verleden hebben ze hun slachtoffers gewaarschuwd om niet samen te werken met wetshandhavingsinstanties of datarecoverybedrijven. Ze dreigden gestolen data onmiddellijk openbaar te maken en wezen ook op de vermeende hebzucht van datarecoverybedrijven en onderhandelaars. Dreigingsactoren op het gebied van cyberafpersing gebruiken vaak deze technieken om hun acties te rechtvaardigen of presenteren hun acties op een manier die minder schadelijk of meer acceptabel lijkt dan ze in werkelijkheid zijn. Hiermee proberen ze begrip of goedkeuring te genereren voor wat eigenlijk illegale activiteiten zijn. Ze hanteren strategieën om hun gedrag minder schadelijk te doen lijken dan het eigenlijk is.

Op hun website staat bij ‘over ons’ het volgende:

"Wij zijn het team achter RagnarLocker en we zijn cybersecurityfanaten, cryptopunks, ondernemers en zakenmensen. Ons voornaamste doel is om een cool project te ontwikkelen dat zijn volle potentieel kan laten zien en natuurlijk om winst te genereren.

Het Ragnar-team streeft er niet naar om enorme schade aan iemands bedrijf of persoonlijkheid te berokkenen. In het geval wij dat wel noodzakelijk achten, doen we wat we beloven en zullen de gevolgen rampzalig zijn, dus dit is geen grap."

Aantal slachtoffers

Vanuit onze uitgebreide Orange Cyberdefense-dataset van slachtoffers (n=8.948) blijkt dat slechts 1,5% van deze slachtoffers is getroffen door RagnerLocker. Sinds we data verzamelen, zijn er 104 slachtoffers geweest (voor zover wij weten). We vermoeden dat er nog veel meer slachtoffers zijn die nog niet zijn vermeld op hun leakwebsite.

Top 5 slachtoffers

Hoewel hun activiteit relatief beperkt is geweest, valt het op dat ze consistent actief zijn gebleven. Dit is opmerkelijk gezien de snelle veranderingen in het ecosysteem van cyberafpersingen. De impact van RagnarLocker is met name merkbaar bij organisaties in de Verenigde Staten, waar 38% van hun slachtoffers is gevestigd. Daarna volgen Canada (6%), Duitsland (5%), India (5%) en Maleisië (5%) als de top vijf getroffen landen. Interessant genoeg zien we wereldwijd dat India, ondanks het lage aantal slachtoffers, in het afgelopen jaar de grootste toename heeft gekend. Dit duidt erop dat cyberafpersingsoperaties zich steeds meer richten op landen waar Engels niet de voertaal is.

Gedurende de 3,5 jaar dat we RagnarLocker hebben geobserveerd, is hun activiteit het meest toegenomen in 2022. Dit is opmerkelijk gezien de algemene afname in dit soort activiteiten wereldwijd gedurende datzelfde jaar.

Door: Jort Kollerie, Strategic Advisor bij Orange Cyberdefense