Een fortuin 50 bedrijf heeft naar verluidt een recordbedrag betaald $75 miljoen losgeld voor de Dark Angels ransomware-bende, volgens Zscaler ThreatLabz.
Deze betaling overtreft het vorige record van $40 miljoen, betaald door verzekeringsgigant CNA na een Evil Corp ransomware-aanval.
De aanval van de Dark Angels en de nasleep ervan
in het begin van 2024, Zscaler ThreatLabz identificeerde een slachtoffer dat een hoog losgeld aan Dark Angels had betaald, het hoogste publiekelijk bekende losgeldbedrag tot nu toe. Dit incident, gedetailleerd in de 2024 Zscaler Ransomware-rapport, zal naar verwachting de aandacht trekken van andere cybercriminelen die Dark Angels willen imiteren’ succes door hun belangrijkste tactieken te adopteren.
Verdere bevestiging van deze betaling kwam van crypto-inlichtingenbureau Chainalysis, die de informatie deelde in een tweet. Ondanks de enorme uitbetaling, Zscaler heeft niet bekendgemaakt om welk specifiek bedrijf het gaat, alleen opmerkend dat het een fortuin was 50 stevig.
Farmaceutische gigant Cencora, gerangschikt #10 op het fortuin 50 lijst, in februari een cyberaanval meegemaakt 2024. Geen enkele ransomware-groep heeft de verantwoordelijkheid voor deze aanval opgeëist, wat suggereert dat er mogelijk losgeld is betaald. BleepingComputer heeft contact opgenomen met Cencora voor commentaar over een mogelijke losgeldbetaling aan Dark Angels, maar heeft nog geen reactie ontvangen.
Dark Angels-groep: Een toenemende dreiging
Gelanceerd in mei 2022, Dark Angels maakte snel naam door bedrijven over de hele wereld aan te vallen. Opereren als veel door mensen aangestuurde ransomware-bendes, Dark Angels breekt in op bedrijfsnetwerken, beweegt zijwaarts om administratieve toegang te verkrijgen, en steelt gegevens van gecompromitteerde servers. Deze gestolen gegevens dienen als extra drukmiddel voor hun losgeldeisen.
Aanvankelijk, Dark Angels gebruikte Windows en VMware ESXi encryptieprogramma's gebaseerd op de gelekte broncode van de Babuk-ransomware. Na een tijdje, ze zijn overgestapt op een Linux-encryptor, eerder gebruikt door Ragnar-kluisje voordat de wetshandhaving het verstoorde 2023. Deze encryptietool werd met name gebruikt bij een aanval op Johnson Controls, waar Dark Angels beweerden gestolen te hebben 27 TB aan data en gevraagd $51 miljoen.
Tactieken en operaties
Dark Angels onderscheidt zich door een strategie die bekend staat als “Jacht op groot wild,” gericht op een paar bedrijven met een hoge waarde in plaats van op talloze kleinere bedrijven. Deze aanpak is gericht op enorme uitbetalingen van individuele spelers., grootschalige aanvallen.
“De Dark Angels-groep hanteert een zeer gerichte aanpak, meestal één groot bedrijf tegelijk aanvallen,” uitleggen Zscaler ThreatLabz onderzoekers. Dit staat in contrast met de meeste ransomware-groepen die slachtoffers lukraak aanvallen en vertrouwen op aangesloten netwerken van initiële toegangsmakelaars en penetratietestteams..
Dark Angels exploiteert ook een site voor datalekken genaamd 'Dunghill Leaks',’ waar ze dreigen gestolen gegevens te publiceren als hun losgeldeisen niet worden ingewilligd. Deze vorm van afpersing verhoogt de druk op de slachtoffers om zich aan de regels te houden..
“Jacht op groot wild” een groeiende trend
Volgens Chainalysis, De tactiek van het jagen op groot wild is de afgelopen jaren steeds populairder geworden onder ransomware-bendes. De recordbrekende losgeldbetaling aan Dark Angels zal deze trend waarschijnlijk versterken, andere cybercriminelen aanmoedigen om soortgelijke methoden te gebruiken in de hoop op vergelijkbaar succes.
Naarmate ransomware-aanvallen zich blijven ontwikkelen en escaleren, het incident met Dark Angels dient als een grimmige herinnering aan de groeiende dreiging die uitgaat van geavanceerde cybercriminele organisaties. Bedrijven moeten waakzaam blijven, investeren in robuuste cyberbeveiligingsmaatregelen om zich te beschermen tegen dergelijke aanvallen met grote inzet.
Meer uit het rapport: Top Ransomware-families
Zscaler’ Het rapport benadrukt ook de meest actieve ransomware-groepen van het afgelopen jaar, met LockBit leidend bij 22.1% aanvallen, gevolgd door Zwarte kat (9.2%) en 8Baseren (7.9%).
Er zijn ook nieuwe ransomware-groepen ontstaan, inclusief RAworld, Afgrond, Donkere Engelen, en RansomHub, waarbij elk van hen begon met het publiceren van gegevens over leklocaties als onderdeel van hun afpersingstactieken. Figuur 9 biedt een tijdlijn van deze nieuwe groepen’ activiteiten.