Nyheter

Ny forskning: Koppling mellan två ökända Ransomware-grupper

Just när den ökända utpressarligan Revil verkade ha försvunnit uppstod en ny hackergrupp, Ransom Cartel. Och mycket tyder på att de två grupperna har mer än bara arbetsmetoderna gemensamt, det visar en färsk rapport från Palo Alto Networks forskningsenhet Unit 42.

Det kan finnas ett samband mellan den ökända hackergruppen Revil och den relativt nya Ransom Cartel, som redan gjort sig ett namn i IT-säkerhetskretsar.

Det visar ny forskning från Unit 42, IT-säkerhetsföretaget Palo Alto Networks forskningsenhet.

Ransom Cartel är gruppen bakom den skadliga Ransomware-as-a-Service (RaaS) med samma namn som dök upp i december 2021 – bara månader efter att Revil försvann från säkerhetsexperternas radar sedan 14 medlemmar i ligan påstås ha gripits i Ryssland. Nu hopar sig dock bevisen för att Ransom Cartel är en utlöpare med före detta Revil-medlemmar som använder dubbla utpressningsmetoder, inte olikt Revils strategi och teknik.

Unit 42 är en de mest erfarna forskargrupperna inom cybersäkerhet och deras undersökningar visar att det redan i januari 2022 fanns likheter mellan Revil och Ransom Cartels metoder, bland annat i de utpressningsmeddelanden som skickas till offren. Likaså verkar Ransom Cartel använda källkod från tidigare versioner av Revils ransomware, vilket visar på en koppling mellan de två grupperna.

Dubbla hot

Ransom Cartel, liksom Revil, använder dubbel utpressning som taktik för få sina offer att betala lösensummor. Det sker först genom bryta sig in i systemen och kryptera verksamhetens data. Dessutom hotar Ransom Cartel att läcka stulet data på öppna sajter, eller att sprida det till offrets affärspartners, media och konkurrenter för att skada företagets rykte och verksamhet.

Syftet med sådana dubbla hot är att skrämma offret till att betala mer – även med tanke på att intrånget innebär ett potentiellt brott mot dataskyddslagen GDPR, med åtföljande höga böter.

Ransom Cartel angriper både Windows- och Linux-system och genomför sina intrång främst genom stulna eller hackade konton/identiteter med behörigheter till offrets IT-miljö. Det kan ge åtkomst med fjärranslutning via remote desktop protocol (RDP), secure shell protocol (SSH) eller virtuella privata nät (VPN).

Mer information om Ransom Cartel finns i Unit 42:s blogginlägg här.