Repellent Scorpius, nuovo gruppo RaaS (ransomware-as-a-service) che distribuisce il ransomware Cicada3301, sembra essere comparso per la prima volta a maggio 2024, con un’operazione di estorsione multipla. Questo report, basato sugli interventi di incident response di Unit 42, il threat intelligence team di Palo Alto Networks, fornisce un’analisi tecnica del ransomware e delle tattiche, tecniche e procedure (TTP) osservate.
Repellent Scorpius, aumento significativo di vittime
Secondo il sito di leak, nonostante la sua recente nascita Repellent Scorpius sta rapidamente affiliando e reclutando partner, provocando un aumento significativo del numero di vittime. Il nome con cui opera ha un retroscena interessante: secondo Wikipedia, il numero 3301 fa riferimento a tre serie di enigmi altamente complessi e misteriosi apparsi per la prima volta su 4chan tra il 2012 e il 2014, tutti firmati con lo pseudonimo 3301. La terza serie rimane, a oggi, irrisolta.
In base alla cronologia emersa dalle attività di Unit 42, stimiamo che il gruppo abbia iniziato le sue operazioni nel maggio scorso. Sebbene gli incidenti possano essere iniziati in quel periodo, abbiamo iniziato a osservare l’attività del sito di leak a giugno, con segnali che indicavano come il gruppo disponesse di dati ottenuti in precedenti incidenti di compromissione. Non è chiaro se questo significhi che l’attore della minaccia operasse prima utilizzando ransomware con nomi diversi, o se abbia acquistato o ereditato dati da altri gruppi ransomware.
Repellent Scorpius utilizza un doppio schema di estorsione per crittografare i sistemi. Questo comporta il furto di dati e la minaccia di pubblicarli se la vittima non paga il riscatto. Unit 42 ha prove che suggeriscono come gli operatori di questo gruppo abbiano sviluppato un programma di affiliazione RaaS, gestiscono un pannello di controllo per gli affiliati e pagine di pagamento del riscatto per le vittime e reclutano attivamente broker di accesso iniziale (IAB) e intrusi di rete sui forum di criminalità informatica in lingua russa.
Dato il numero limitato di vittime, è troppo presto per affermare se questo gruppo di ransomware si rivolga a un settore o a un’area geografica specifici. Tuttavia, uno dei punti della sezione FAQ sul sito web del pannello di affiliazione sottolinea: “È severamente vietato prendere di mira i Paesi della CSI” (traduzione dal russo). KrakenLabs ha pubblicato uno screenshot su X (ex Twitter) di un post tradotto in russo del gruppo ransomware Repellent Scorpius su un forum clandestino in cui recluta partner per il programma di affiliazione.
Nonostante al momento non sembri così diffuso, Repellent Scorpius sta assumendo attivamente IAB e intrusi di rete, pertanto possiamo aspettarci un elenco crescente di incidenti e vittime attive pubblicati sul loro sito di leak nel prossimo futuro.
Tutti i dettagli della campagna sono disponibili qui https://unit42.paloaltonetworks.com/repellent-scorpius-cicada3301-ransomware
Di Navin Thomas e Jerome Tujague, ricercatori Unit 42 di Palo Alto Networks