De beruchte cybercrimegroep die bekend staat als Verspreide spin Microsoft heeft ransomwarevarianten zoals RansomHub en Qilin in zijn arsenaal opgenomen, zo heeft het bedrijf bekendgemaakt.
Scattered Spider is de aanduiding die wordt gegeven aan een dreigingsactor die bekend staat om zijn geavanceerde social engineering-schema’s om doelen te schenden en persistentie te creëren voor vervolgexploitatie en datadiefstal. Het heeft ook een geschiedenis van het targeten van VMWare ESXi-servers en het implementeren van BlackCat-ransomware.
Het deelt overlappingen met activiteitsclusters die worden bijgehouden door de bredere cybersecuritygemeenschap onder de namen 0ktapus, Octo Tempest en UNC3944. Vorige maand werd gemeld dat een belangrijk lid van de groep in Spanje werd gearresteerd.
RansomHub, dat eerder deze februari op het toneel verscheen, wordt gezien als een rebranding van een andere ransomware-variant genaamd Knight, zo blijkt uit een analyse van Symantec, eigendom van Broadcom, van vorige maand.
“RansomHub is een ransomware-as-a-service (RaaS)-payload die door steeds meer kwaadwillenden wordt gebruikt, waaronder partijen die in het verleden andere (soms verouderde) ransomware-payloads hebben gebruikt (zoals BlackCat). Daarmee is het een van de meest wijdverspreide ransomwarefamilies van dit moment”, aldus Microsoft.
De Windows-maker zei ook dat het RansomHub had waargenomen als onderdeel van de activiteit na de inbreuk door Manatee Tempest (ook bekend als DEV-0243, Evil Corp of Indrik Spider) nadat Mustard Tempest (ook bekend als DEV-0206 of Purple Vallhund) voor het eerst toegang had verkregen via FakeUpdates (ook bekend als Socgholish)-infecties.
Het is de moeite waard om hier te vermelden dat Mustard Tempest een initiële toegangsmakelaar is die in het verleden FakeUpdates heeft gebruikt in aanvallen die hebben geleid tot acties die lijken op pre-ransomware-gedrag geassocieerd met Evil Corp. Deze inbraken waren ook opmerkelijk vanwege het feit dat FakeUpdates werd geleverd via bestaande Raspberry Robin-infecties.
De ontwikkeling vindt plaats terwijl er nieuwe ransomware-families opduiken, zoals FakePenny (toegeschreven aan Moonstone Sleet), Fog (verspreid door Storm-0844, dat ook Akira verspreidde) en ShadowRoot. Laatstgenoemde is gespot bij Turkse bedrijven en richt zich daarbij op valse PDF-facturen.
“Nu de dreiging van ransomware blijft toenemen, zich uitbreiden en ontwikkelen, wordt gebruikers en organisaties aangeraden de beste beveiligingspraktijken te volgen, met name op het gebied van inloggegevenshygiëne, het principe van minimale privileges en Zero Trust”, aldus Microsoft.
