Af Eskil Sørensen, 12/08/24
Et Fortune 50-firma har tilsyneladende betalt en rekordstor løsesum på 75 millioner dollars til ransomware-gruppen Dark Angels.
Det skriver Bleeping Computer med henvisning til en rapport fra Zscaler ThreatLabz.
Af rapporten fremgår det, at det er ThreatLabz selv, der har afsløret den pågældende betaling, som skal være det højeste, offentligt kendte beløb, der er udbetalt efter en ransomwarehændelse. Den rekordstore betaling er yderligere bekræftet af krypto-efterretningsfirmaet Chainalysis, som har tweetet om det på X.
Dermed overgås den før dette største kendte løsesumsbetaling med flere længder. Tidligere var rekorden på 40 millioner dollar, hvilket forsikringsgiganten CNA betalte efter at have været udsat for et ransomwareangreb fra Evil Corp.
Det fremgår ikke, hvilket firma der er tale om, andet end at det ligger på Fortune 50-listen. Dette betyder, at det er blandt de 50 største virksomheder i USA. Angrebet fandt sted i begyndelsen af 2024, hvilket ifølge Bleeping Computer peger på medicinalgiganten Cencora, som er nr. 10 på listen, og som blev ramt af et cyberangreb i februar 2024. Eftersom der ikke er nogen ransomwaregruppe, der har taget ansvaret for angrebet, indikerer dette ifølge Bleeping Computers altid ihærdige journalist Lawrence Abrams på, at en løsesum er blevet betalt. Abrams har naturligvis spurgt Cencora til sagen, men har ikke fået svar.
Går efter de store fisk
Dark Angels er en ransomware-gruppe, der blev "præsenteret" i maj 2022, og som dengang begyndte at rette sin opmærksomhed mod virksomheder over hele verden.
Af Zscaler ThreatLabz’ rapport fremgår det, Dark Angels anvender Big Game Hunting-strategien. Denne strategi indebærer, at der kun angribes store virksomheder, hvor sandsynligheden for en stor udbetaling er til stede i stedet for angreb mod mange mindre virksomheder, hvor gevinsterne alt andet lige er mindre. Strategien står i kontrast til de fleste andre ransomware-gruppers aktiviteter, som retter sig mod tilfældige ofre, og hvor det meste af angrebet er outsourcet. Dog er Big Game Hunting angiveligt blevet en dominerende trend, skriver Bleeping Computer. Strategien er blevet brugt af adskillige ransomware-bander i løbet af de sidste par år.
Som de fleste menneskedrevne ransomware-bander bryder Dark Angels-operatører virksomhedens netværk og bevæger sig sideværts, indtil de til sidst får administrativ adgang. I løbet af denne tid stjæler de også data fra kompromitterede servere, som senere bruges som ekstra løftestang, når de stiller krav om løsesum. Når de får adgang til Windows-domænecontrolleren, implementerer trusselsaktørerne ransomwaren for at kryptere alle enheder på netværket.
Dark Angels brugte oprindeligt Windows- og VMware ESXi-krypteringer baseret på den lækkede kildekode til Babuk-ransomwaren. Men med tiden har de skiftet til en Linux-kryptering - den samme, der er blevet brugt af Ragnar Locker siden 2021. Linux-krypteringen blev bl.a. brugt i et Dark Angels-angreb på Johnson Controls til at kryptere virksomhedens VMware ESXi-servere. I dette angreb hævdede Dark Angels at have stjålet 27 TB virksomhedsdata og krævede en løsesum på $51 millioner.
Politisk gruppe eller ej?
Dark Angels driver også et datalækagested ved navn "Dunghill Leaks", der bruges til at afpresse sine ofre og truer med at lække data, hvis en løsesum ikke betales.
Dark Angels skriver på sin lækageside, at gruppen arbejder med "research inden for informationssikkerhed". Gruppen er ifølge sig selv ikke interesseret i politik og arbejder ikke sammen regeringer eller myndigheder.
Links:
https://www.bleepingcomputer.com/news/security/dark-angels-ransomware-re...