Een ransomware kartel wordt vaak gevormd om het bereik en de inkomsten te vergroten. De winst die wordt gemaakt met losgeld operaties wordt vaak gebruikt om zowel tactieken als malware te bevorderen om hun succes te vergroten.
Samen sterker
Het adagium 'Apen samen sterk' duidt op apen die samenwerken voor een gemeenschappelijk doel dat hen uiteindelijk ten goede zou komen. Evenzo slaan verschillende cybercriminelen de handen ineen om hun hack pogingen intenser en succesvoller te maken. De meeste groepen van bedreigingsactoren zijn aanwezig op ondergrondse marktplaatsen waar ze details delen met betrekking tot kwaadaardige tools, malware voorbeelden en hack doelen. We komen vaak nieuws tegen over verschillende ransomware-campagnes wereldwijd, maar wat de meesten van ons niet weten, is dat ze vaak met elkaar verband houden.
Een recente analyse door Analyst1, genaamd 'Ransom Mafia - Analysis of the World's First Ransomware Cartel', onthulde dat cybercriminele groepen achter bepaalde ransomware-campagnes vaak een relatie met elkaar onderhouden om een kartel te vormen in de ondergrondse hack wereld.
Een ransomware kartel is een verzameling van verschillende cybercriminele bendes die samenwerken bij losgeld operaties door middelen, tactieken en winsten te delen. Analyst1-onderzoekers analyseerden de Bitcoin-portefeuilles van de aanvallers en de bijbehorende transacties om het geldspoor van slachtoffers naar de bende van de bedreigingsacteur en van de bende naar hun andere partners in het kartel te achterhalen. Een ransomware kartel wordt vaak gevormd om het bereik en de inkomsten te vergroten.
November 2020
Onderzoekers ontdekten dat de dreigingsactorgroep Twisted Spider in november 2020 een kartel begon, na de aankondiging van de stopzetting van zijn Maze-ransomware-operaties . Hoewel de pensioenclaim vals en misleidend was, vormde de Twisted Spider-bende een ransomware-kartel met Wizard Spider, Viking Spider , Lockbit en SunCrypt- bendes .
“De eerste verbanden die we vonden leverde bewijs dat de groepen samenwerken en middelen delen om slachtoffers af te persen. Verschillende bendes hebben de gegevens van het slachtoffer gecompromitteerd en gestolen, die ze aan Twisted Spider hebben doorgegeven. Twisted Spider plaatste vervolgens de gegevens van het slachtoffer en probeerde losgeld te bedingen op hun dataleksite. Deze vorm van samenwerking en het delen van informatie zou niet succesvol zijn geweest mits de drie criminele bendes geen vertrouwensrelatie hadden met elkaar,” aldus Analyst1.
Belangrijkste bevindingen
- De aan het kartel gelieerde bendes die slachtoffer gegevens verspreiden/posten op lek websites, behoorden tot andere bendes binnen het kartel. Met andere woorden, een bende heeft gegevens van een slachtoffer gehackt en gestolen en deze aan een andere bende doorgegeven om het publiekelijk te posten en met het slachtoffer te onderhandelen.
- Meerdere bendes binnen het kartel coördineren via kartel lek websites, waaronder het delen van tactieken, commando- en controle-infrastructuur en het delen/posten van slachtoffer gegevens.
- Aanvallers gaan hun aanvallen automatiseren. Meerdere bendes hebben geautomatiseerde mogelijkheden toegevoegd aan hun losgeld eis, waardoor ze hun slachtoffers kunnen verspreiden en infecteren zonder menselijke tussenkomst.
- De vraag om losgeld blijft toenemen. Gezamenlijk genereerden bendes in het kartel honderden miljoenen dollars aan ransomware en gegevensafpersingsoperaties. (doxwaring)
- Verschillende kartelbendes bieden Ransomware as a Service (RaaS) aan, waarbij ze hackers inhuren om aanvallen uit te voeren, terwijl ze hen voorzien van malware, infrastructuur en onderhandelingsdiensten voor losgeld.
- Aanvallers houden PR-interviews met verslaggevers, geven persberichten uit en maken gebruik van advertenties op sociale media en callcenters om slachtoffers lastig te vallen en onder druk te zetten om te betalen.
- Aanvallers herinvesteren winst die zijn gemaakt met losgeld operaties om zowel tactieken als malware te bevorderen om hun succes en inkomsten te vergroten. Malware wordt regelmatig bijgewerkt en voegt nieuwe geavanceerde functies toe.
- Wizard Spider ontwikkelde unieke malware gericht op spionage. Analyst1 kon niet valideren hoe Wizard Spider het gebruikt bij aanvallen. Alleen al het bestaan ervan is verontrustend. We hebben geen andere bende in het kartel gevonden die spionage malware gebruikt of ontwikkelt.
Het kartel gaat door
Ransomware-groepen kondigen opzettelijk aan dat ze hun activiteiten stopzetten, maar uiteindelijk maken ze hun banden met het kartel sterker en groter.
“Analyst1 gelooft dat deze ransomware-bendes met elkaar zullen blijven samenwerken. De werkrelatie zal echter waarschijnlijk achter de schermen plaatsvinden en niet op openbaar niveau. Groepen zullen tactieken en middelen blijven delen, waardoor ze veel gevaarlijker worden dan wanneer ze onafhankelijk zouden opereren. Zowel ransomware als malware die worden gebruikt om in eerste instantie compromissen te sluiten, zullen hun niveau van verfijning en capaciteit verhogen", voegde Analyst1 toe.
Huidige actieve groeperingen
Cybercrimeinfo volgt dagelijks trends op cybercrime en darkweb en kan zich in de analyse van deze onderzoekers helemaal vinden. Om een beeld te krijgen hoe vandaag de dag de stand is staat hieronder een overzicht met de huidige georganiseerde cybercriminele groeperingen.
Wil je dagelijks op de hoogte blijven volg dan onze blog 'Actuele aanvallen'.
Cybercriminele groepering | Laatste slachtoffer | Laatste publicatie gestolen data |
---|---|---|
AKO/Ranzy Locker | alfortville.fr | woensdag 8 juli 2020 |
Arvin Club | Beh Pardakht Mellat Cards | maandag 24 mei 2021 |
Astro Team | InTown | donderdag 6 mei 2021 |
Avaddon | Hupac Intermodal Italia Srl | zondag 30 mei 2021 |
Black Shadow | - | - |
CL0P/TA505 | AUROBINDO.COM | maandag 10 mei 2021 |
CONTI/Ryuk | SOUTHWEST RECOVERY SERVICES, LLC | woensdag 2 juni 2021 |
Cuba | ORT Capital | vrijdag 26 februari 2021 |
DarkSide | Toshiba.fr | donderdag 13 mei 2021 |
DoppelPaymer (Captcha) | Loma Systems | maandag 31 mei 2021 |
Egregor | Haggard | woensdag 30 december 2020 |
Everest | Procuradoria Geral da Fazenda Nacional | maandag 3 mei 2021 |
Galaxy (nieuw wk 18-2021) | - | - |
Grief | HDHC Home Decor | woensdag 2 juni 2021 |
imTox1n | - | - |
LockBit | Homeland Title | donderdag 21 januari 2021 |
Lorenz | Langs Building Supplies Pty Ltd | dinsdag 1 juni 2021 |
LV | BECKSHOES.COM | woensdag 2 juni 2021 |
LV Blog 2 | CENTRE | vrijdag 28 mei 2021 |
Marketo | Pennsylvania, Clearfield Borough Police Department | maandag 31 mei 2021 |
MAZE | Club Fitness | donderdag 5 november 2020 |
Mount Locker | Nachi America Inc. | maandag 29 maart 2021 |
N3tw0rm | Eitan Medical | woensdag 19 mei 2021 |
Nefilim | Spirit Airlines | zaterdag 22 mei 2021 |
NEMTY | NorthSideUSA | dinsdag 3 maart 2020 |
NetWalker | VISTEX www.vistex.com | dinsdag 26 januari 2021 |
NONAME | Auction with leaked data will be created | donderdag 13 mei 2021 |
Pay2Key | Portox | maandag 28 december 2020 |
Payload.bin / Babuk - Leaks site | CD Projekt all Source Code | maandag 31 mei 2021 |
Prometheus | A-1 Machine Manufacturing Inc | woensdag 2 juni 2021 |
Pysa | LOGANSPORT COMMUNITY SCHOOL CORPORATION | zondag 11 april 2021 |
Ragnar Locker | XtraSource | woensdag 26 mei 2021 |
Ragnarok | MOBA Mobile Automation AG | vrijdag 9 april 2021 |
RansomEXX | Stemcor | donderdag 20 mei 2021 |
REvil/Sodinokibi (Happy Blog) | Royal Resorts | maandag 31 mei 2021 |
Sekhmet | CBKLAW | maandag 29 juni 2020 |
Sunscrypt | PRP diagnostic imaging | zondag 28 februari 2021 |
SynACK | CONSORZIO INNOVAZIONE ENERGETICA RINNOVABILE | vrijdag 14 mei 2021 |
Team Snatch | Perceptics | maandag 17 mei 2021 |
Toxin (ransomware) | - | - |
Positive Promotions, Inc. | woensdag 2 juni 2021 |
Bron: diverse, analyst1.com
Meer info over cybercrime
Tips of verdachte activiteiten gezien? Meld het hier.
Cybercrime gerelateerde berichten
De gevaren van de nieuwe Quantumcomputers: ‘Ontsleutelen in één minuut waar gewone computers nu 10.000 jaar overdoen’
Organisaties moeten hun belangrijke data nu al tegen de dreiging van quantumcomputers beschermen, zo adviseert de AIVD in een vandaag gepubliceerde brochure. Volgens de inlichtingendienst brengt de komst van de quantumcomputer risico’s met zich mee op het gebied van informatiebeveiliging. "De algemene verwachting is dat een quantumcomputer binnen twintig jaar de huidige cryptografische standaarden kan breken", aldus de AIVD.
"Het staat niet in verhouding tot de urgentie die uit de Miljoenennota en de troonrede naar voren komen"
Nederland wordt steeds afhankelijker van het internet, maar is ook steeds vaker doelwit van hacks en andere cyberaanvallen. Die ondermijnen de rechtsstaat, schrijft het demissionaire kabinet in de Miljoenennota. Toch blijven noemenswaardige investeringen in de cyberveiligheid uit, tot grote frustratie van experts uit de cyberbeveiligingsbranche.
4,5 jaar cel voor verkoper cryptotelefoons
De rechtbank in Rotterdam heeft gisteren een 41-jarige man uit Nijmegen veroordeeld tot een gevangenisstraf van 54 maanden. De man moet 4,5 jaar de cel in omdat hij volgens de rechtbank een criminele organisatie leidde die cryptotelefoons verkocht die voor criminele doeleinden werden gebruikt. Ook bevond de rechter hem schuldig aan witwassen en valsheid in geschrifte.
Verdachten twee weken in voorarrest terwijl onderzoek doorgaat
Afgelopen week heeft de politie een 44-jarige man uit Kaatsheuvel en een 24-jarige vrouw uit Rosmalen aangehouden. Het duo wordt ervan verdacht honderden cryptotelefoons en abonnementen aan criminelen te hebben verkocht. Daarnaast vermoedt het Openbaar Ministerie (OM) dat het tweetal deelnam aan een criminele organisatie en dat ze betrokken waren bij het witwassen van geld dat uit criminele activiteiten is verkregen.
81% van de Nederlandse zorginstellingen lopen risico op e-mailfraude
Het is inmiddels de norm dat afspraken voor de huisarts, het ziekenhuis en een vaccinatie online worden geboekt. En nu het digitale coronapaspoort definitief wordt ingevoerd als toegangsbewijs voor allerlei diensten, is cybersecurity nog nooit een belangrijker thema geweest voor de zorgsector.
Overheid gaat bedrijven waarschuwen bij gevaar cyberaanvallen
Het Digital Trust Center (DTC) gaat vanaf maandag 13 september op beperkte schaal relevante dreigingsinformatie proactief delen met het bedrijfsleven. Ondernemingen en organisaties die geen onderdeel uitmaken van de kritische infrastructuur, krijgen vanaf vandaag informatie over acute kwetsbaarheden en digitale dreigingen. De overheid kijkt of ze op deze manier het bedrijfsleven weerbaarder kan maken tegen hackers.