Unit 42, het onderzoeksteam van Palo Alto Networks, heeft een rapport gepubliceerd over ‘Repellent Scorpius’, een nieuwe ransomware-groep die Cicada3301 ransomware distribueert.
Repellent Scorpius gebruikt een dubbel afpersingsschema om systemen te versleutelen. Ze stelen data en dreigen deze vrij te geven als het slachtoffer geen losgeld betaalt. Ondanks dat de groep pas vanaf mei 2024 actief is, breiden ze zich volgens de onderzoekers snel uit middels het opzetten van een affiliateprogramma en het werven van partners. Hierdoor neemt het aantal slachtoffers in een hoog tempo toe.
Aangezien andere meldingen ontbreken, is Repellent Scorpius waarschijnlijk vanaf mei 2024 actief. Vanaf juni zijn er activiteiten beschikbaar op een datalek-platform. Repellent Scorpius beschikt over data van oudere cyberaanvallen. Het is onduidelijk of dit betekent dat ze andere ransomware hebben toegepast of gegevens van andere groepen hebben gekocht. Unit 42 ziet echter overeenkomsten met een ransomware groepering die in maart 2022 BlackCat ransomware toepaste.
Er is bewijs dat Repellent Scorpius een Ransomware-as-a-Service (RaaS) affiliateprogramma beheert. Dit programma biedt partners toegang tot een controlepaneel en maakt speciale ransompagina’s aan voor slachtoffers. Repellent Scorpius rekruteert initiële toegangsbrokers (IAB) en netwerk inbrekers op Russischtalige cybercrime fora.
Het is nog te vroeg om te weten of de ransomware-groep zich op een bepaalde sector of regio richt. Op een FAQ-pagina op de website van het affiliate panel staat echter dat het “ten strengste verboden is om de CIS-landen te targetten”. Omdat Cicada3301 ransomware relatief nieuw is, zullen de TTP’s (Technieken, Tactieken en Procedures) van Repellent Scorpius naar verwachting met de tijd veranderen.
