Ransom Cartel es un grupo de Ransomware as a Service (RaaS) que apareció a mediados de diciembre de 2021; esta organización realiza ataques de doble extorsión y presenta varias similitudes y superposiciones técnicas con el grupo de ransomware REvil, que desapareció solo un par de meses antes de que surgiera Ransom Cartel y solo un mes después de que 14 de sus presuntos miembros fueran arrestados en Rusia. Cuando apareció Ransom Cartel por primera vez, no estaba claro si era un cambio de marca de REvil o una organización no relacionada que reutilizó o imitó el código del ransomware REvil.
Unit 42 observó Ransom Cartel por primera vez a mediados de enero de 2022 y al notar la primera actividad conocida de Ransom Cartel notaron varias similitudes y superposiciones técnicas con el ransomware REvil.
Que un grupo de ransomware surja de otro no es extraño, lo mismo ocurrió con BlackBasta, conjunto que cuenta con miembros del conjunto Conti, el cual fue responsable de diez ataques de Ransomware en Latinoamérica, dos de ellos en México.
Tal vez te interese: México, segundo país de Latinoamérica que recibe más ataques Ransomware
En este momento, Unit 42 cree que los operadores de Ransom Cartel tenían acceso a versiones anteriores del código fuente del ransomware REvil, pero no a algunos de los desarrollos más recientes. Esto sugiere que hubo una relación entre los grupos en algún momento, aunque puede que no haya sido reciente.
Unit 42 también detectó a las primeras víctimas alrededor de enero de 2022 en los EE. UU. y Francia. Ransom Cartel ha atacado organizaciones en las siguientes industrias: educación, manufactura y servicios públicos y energía. Los miembros del equipo de respuesta a incidentes de Unit 42 también han ayudado con los esfuerzos de respuesta en varios casos de Ransom Cartel, ya que los clientes de Palo Alto Networks reciben ayuda con la detección y prevención del Black Basta Ransomware por medio de las soluciones de Cortex XDR y Firewalls de última generación como WildFire.
Mientras que REvil puede haber desaparecido, su influencia maliciosa no lo ha hecho. El operador del blog recién establecido parece tener algún tipo de acceso a REvil o vínculos con el grupo; asimismo, el análisis de muestras de Ransom Cartel también proporciona una fuerte evidencia de vínculos con REvil. Unit 42 también ha notado que Ransom Cartel encripta servidores VMWare ESXi de Windows y Linux en ataques a redes corporativas.
Los ataques de Ransomware siguen creciendo gracias a las técnicas de encriptación avanzadas y mecanismos de entrega, es por eso que Palo Alto Networks se mantiene actualizado con sus constantes investigaciones en amenazas que se presentan cada día, informando al público y sus clientes para que siempre busquen la mejor opción en ciberseguridad.