6 miljoen dollar nog niet voldoende voor cybercriminelen achter REvil ransomware

Gepubliceerd op 5 juni 2020 om 08:30
6 miljoen dollar nog niet voldoende voor cybercriminelen achter REvil ransomware

De bende achter de beruchte REvil-ransomware, ook bekend als Sodinokibi, is begonnen met het veilen van de data die bij een slachtoffer is gestolen. Volgens de FBI hebben slachtoffers van deze ransomware al meer dan 6 miljoen dollar betaald voor het ontsleutelen van hun bestanden. Net als verschillende andere ransomwaregroepen besloot de REvil-bende om data van slachtoffers niet alleen te versleutelen, maar ook te stelen.

Anders gestolen data openbaar

Via een eigen website zet de bende slachtoffers onder druk om het gevraagde losgeld te betalen, anders wordt de gestolen data openbaar gemaakt. Van verschillende slachtoffers die niet betaalden verschenen de gegevens vervolgens online. Gisteren kondigde de groep op de eigen website een nieuwe "feature" aan, waarbij het mogelijk is om op gestolen data van een slachtoffer te bieden.

Minimum bod 50.000 dollar

Als eerste wordt er data aangeboden die van het Canadese landbouwbedrijf Agromart afkomstig zou zijn. Volgens de omschrijving gaat het om een database en een archiefbestand met meer dan 22.000 bestanden en documenten. Hiervoor moet minimaal 50.000 dollar worden geboden, zo melden it-journalist Brian Krebs en securitbedrijf Cyble en blijkt uit screenshots op Twitter. Agromart heeft de datadiefstal nog niet bevestigd. De groep dreigt tevens bestanden van het Amerikaanse advocatenkantoor Grubman Shire Meiselas & Sacks, dat onder andere Madonna, Bruce Springsteen, Lady Gaga, Drake, Elton John, Robert De Niro, LeBron James en andere sterren vertegenwoordigt, te gaan veilen.

Tal van bedrijven slachtoffer

De REvil-groep heeft het afgelopen jaar tal van bedrijven weten te infecteren, waaronder Travelex, de Luxemburgse supermarktketen Cactus, de Duitse auto-onderdelenfabrikant Gedia en ook verschillende Nederlandse bedrijven werden slachtoffer en betaalden het losgeld. De groep weet organisaties te infecteren via bekende kwetsbaarheden in de software van Citrix en Pulse Secure. Daarnaast maakt de bende ook gebruik van documenten met kwaadaardige macro's.

Bron:  Security, Krebsonsecurity, Cybleinc

Ransomware gerelateerde berichten