Nieuwe ransomwaregroepering gebruikt dubbele afpersingsstrategie
De relatief nieuwe ransomwaregroep Repellent Scorpius zet een affiliateprogramma in en werft actief partners. Het aantal slachtoffers van de groep, die sinds mei 2024 actief is, neemt hierdoor snel toe. De aanvallers zet daarbij een dubbele afpersingsstrategie in.
Hiervoor waarschuwt Unit 42, het onderzoeksteam van Palo Alto Networks. Repellent Scorpius maakt gebruik van de ransomware Cicada3301 om de systemen van slachtoffers te versleutelen. Daarnaast steelt de groep gevoelige data die vervolgens wordt gebruikt om slachtoffers te chanteren. Mochten bedrijven weigeren losgeld te betalen, dan dreigt de groep met het openbaar maken van de gestolen informatie.
De groep is in korte tijd uitgegroeid tot een serieuze bedreiging. Door het opzetten van een affiliateprogramma en het werven van partners op Russischtalige cybercrimefora, heeft Repellent Scorpius zijn bereik aanzienlijk vergroot.
Koppeling met eerdere aanvallen
Hoewel Repellent Scorpius pas sinds mei 2024 actief is, zijn er aanwijzingen dat de groep over data van oudere cyberaanvallen beschikt. Unit 42 ziet overeenkomsten met een ransomwaregroep die in maart 2022 BlackCat ransomware toepaste. Het is echter nog onduidelijk of Repellent Scorpius zelf verantwoordelijk is voor deze eerdere aanvallen of dat de groep de data heeft verkregen via andere kanalen.
Repellent Scorpius lijkt zich vooralsnog niet te richten op specifieke sectoren. Wel is bekend dat de groep het targeten van de CIS-landen, de voormalige Sovjetstaten, ten strengste verbiedt.
Meer informatie is beschikbaar in het onderzoeksrapport dat Unit42 deelt.
Meer over Security
Over Wouter Hoeffnagel
