De bende achter de beruchte REvil-ransomware, ook bekend als Sodinokibi, is begonnen met het veilen van de data die bij een slachtoffer is gestolen. Volgens de FBI hebben slachtoffers van deze ransomware al meer dan 6 miljoen dollar betaald voor het ontsleutelen van hun bestanden. Net als verschillende andere ransomwaregroepen besloot de REvil-bende om data van slachtoffers niet alleen te versleutelen, maar ook te stelen.
Anders gestolen data openbaar
Via een eigen website zet de bende slachtoffers onder druk om het gevraagde losgeld te betalen, anders wordt de gestolen data openbaar gemaakt. Van verschillende slachtoffers die niet betaalden verschenen de gegevens vervolgens online. Gisteren kondigde de groep op de eigen website een nieuwe "feature" aan, waarbij het mogelijk is om op gestolen data van een slachtoffer te bieden.
Minimum bod 50.000 dollar
Als eerste wordt er data aangeboden die van het Canadese landbouwbedrijf Agromart afkomstig zou zijn. Volgens de omschrijving gaat het om een database en een archiefbestand met meer dan 22.000 bestanden en documenten. Hiervoor moet minimaal 50.000 dollar worden geboden, zo melden it-journalist Brian Krebs en securitbedrijf Cyble en blijkt uit screenshots op Twitter. Agromart heeft de datadiefstal nog niet bevestigd. De groep dreigt tevens bestanden van het Amerikaanse advocatenkantoor Grubman Shire Meiselas & Sacks, dat onder andere Madonna, Bruce Springsteen, Lady Gaga, Drake, Elton John, Robert De Niro, LeBron James en andere sterren vertegenwoordigt, te gaan veilen.
#REvil #ransomware on 🔥
— Shadow Intelligence (@shad0wintel) June 2, 2020
website was down for a while yesterday.
It seems they added an auction page
as well as 2 new victims:https://t.co/gqXlnVqMw1 (@360risk)https://t.co/6VlMe0wtpM (@telkomza)
+ leaked data of Agromart Group#infosec #breach #CyberSecurity pic.twitter.com/QFPqImeeu3
Sodin updated their leak site with more information on auctions. First auction is for Agromart pic.twitter.com/dX79eglf30
— Ransom Leaks (@ransomleaks) June 2, 2020
Tal van bedrijven slachtoffer
De REvil-groep heeft het afgelopen jaar tal van bedrijven weten te infecteren, waaronder Travelex, de Luxemburgse supermarktketen Cactus, de Duitse auto-onderdelenfabrikant Gedia en ook verschillende Nederlandse bedrijven werden slachtoffer en betaalden het losgeld. De groep weet organisaties te infecteren via bekende kwetsbaarheden in de software van Citrix en Pulse Secure. Daarnaast maakt de bende ook gebruik van documenten met kwaadaardige macro's.
Bron: Security, Krebsonsecurity, Cybleinc