Der er muligvis forbindelse mellem den berygtede REvil-hackergruppe og den relativt nye Ransom Cartel, som dog allerede har skabt sig et navn i it-sikkerhedskredse.

Det viser ny forskning fra Unit 42, it-sikkerhedsvirksomheden Palo Alto Networks forskningsenhed.

Ransom Cartel er en ransomware-gruppe bag den ondsindede ransomware-as-a-service (RaaS) as samme navn, og opstod ud af det blå i december 2021 – kun måneder efter REvil forsvandt fra dagens lys, efter 14 REvil-medlemmer angiveligt var blevet anholdt i Rusland. Nu tyder meget dog på, at Ransom Cartel er en forgrening af tidligere REvil-personer, som benytter dobbeltafpresningsmetoder ikke ulig REvils strategi og teknologi.

Unit 42 er en af branchens mest erfarne forskningsgrupper, og deres undersøgelser af Ransom Cartel viser blandt andet, at allerede i januar 2022 begyndte man at se ligheder med REvil i Ransom Cartels metoder. Ligeledes ser det ud til, at Ransom Cartel benytter kildekode fra REvils tidligere ransomware-versioner, hvilket bevidner, at der er en sammenhæng mellem de to grupper, om end ikke af nyere dato.

Dobbeltbedrag

Ransom Cartel benytter, ligesom REvil, et dobbeltbedrag til at tvinge løsesum ud af deres ofre. Det sker ved først og fremmest at penetrere en virksomheds sikkerhedsforsvar og kryptere forretningskritisk data. Dernæst truer Ransom Cartel ikke kun med at lække de forretningskritiske data på offentligt tilgængelige sites, men også at dele dataene med ofrets samarbejdspartnere, medier og konkurrenter, hvilket vil gøre uoprettelig skade på virksomhedens omdømme.

Det skræmmer ofret til i højere grad at betale – særligt med et potentielt GDPR-brud og den dertilhørende høje bøde for øje. Ransom Cartel kommer for det meste ind i virksomheden via usikker og kompromitteret infrastruktur, herunder Remote Desktop-protokoller, SSH eller VPN – og Ransom Cartel rammer både Windows og Linux systemer.