Ransom Cartel vertoont REvil technische overlap

Unit 42 heeft een blog gepubliceerd met een analyse van de Ransom Cartel ransomwaregroep, inclusief een beoordeling van de mogelijke connecties met REvil.

Het blog neemt een diepe duik in de technische details, met als hoogtepunten:

Ransom Cartel werd voor het eerst waargenomen midden december 2021, met de eerste vermeende slachtoffers rond eind april 2022

Slachtoffers werden voornamelijk gezien in het onderwijs, de industrie, nutsbedrijven en de energiesector.

In oktober 2021 werd het stil rond de REvil-exploitanten en werden hun blog en communicatiewebsites over de ransomware onbereikbaar. Rond half april 2022 werd de REvil-blog (Happy Blog) weer actief en werden bezoekers omgeleid naar een nieuwe blog voor een operatie met de naam Ransom Cartel.

Ransom Cartel maakt gebruik van dubbele afpersingstechnieken, met een bijzonder agressief geval waarin de groep dreigt gestolen data niet alleen op een leksite te publiceren, maar ook rechtstreeks naar partners, concurrenten en het nieuws te sturen.