Palo Alto Networks ujawnia działalność zupełnie nowej grupy ransomware Repellent Scorpius

Analitycy Palo Alto Networks ujawniają działalność grupy Repellent Scorpius, będącą nowym podmiotem przeprowadzającym ataki ransomware na zamówienie (RaaS). Od maja 2024 roku organizacja dystrybuuje złośliwe oprogramowanie Cicada3301. Grupa ta stosuje strategię podwójnego wymuszenia, łącząc szyfrowanie danych ofiar z groźbą ich wycieku, jeśli nie zostanie zapłacony okup.

Repellent Scorpius szybko rozwija swoją działalność, tworząc program afiliacyjny i rekrutując wspólników na rosyjskojęzycznych forach zrzeszających cyberprzestępców. Choć grupa działa od niedawna, zgromadziła już znaczne ilości danych pochodzących z wcześniejszych ataków. Sugeruje to możliwość istnienia powiązań z innymi grupami ransomware.

Raport analityków jednostki badawczej Unit 42 dostarcza szczegółowej analizy działania Cicada3301, opisując m.in. techniki i narzędzia wykorzystywane przez grupę Repellent Scorpius do wykradania danych. Specjaliści zauważyli, że organizacja wykorzystuje Rclone, czyli narzędzie open-source, które wyprowadza dane na zewnątrz i modyfikuje kod oprogramowania szyfrującego, co umożliwia prowadzenie bardziej zaawansowanych ataków.

— Grupa Repellent Scorpius to nowy, ale szybko rozwijający się gracz w ekosystemie ransomware-as-a-service. Ich zaawansowana strategia podwójnego wymuszenia, łącząca szyfrowanie danych z groźbami ich publikacji, stanowi poważne zagrożenie także dla firm w Polsce. Jesteśmy świadkami ewolucji narzędzi takich jak Cicada3301, które stale adaptują się, aby unikać wykrycia i skuteczniej przeprowadzać ataki. Prognozujemy, że w najbliższych miesiącach aktywność tej grupy znacząco wzrośnie, a liczba ofiar będzie nadal rosła — podkreśla Tomasz Pietrzyk, Szef Zespołu Inżynierów w regionie CEE w Palo Alto Networks.

Palo Alto Networks zaleca szczególną czujność wobec tej nowej formy zagrożenia i sugeruje, że aktywność związana z Cicada3301 będzie w nadchodzących miesiącach narastać, zwiększając liczbę podmiotów dotkniętych skutkami naruszeń. Biorąc pod uwagę, że oprogramowanie ransomware Cicada3301 jest stosunkowo nowe, specjaliści prognozują, że jego TTP będą ewoluować.