4 min Security

Dark Angels verdubbelt ransomware-record: 75 miljoen aan losgeld

"Big Game Hunting" in opkomst, vooral in gezondheidszorg

Dark Angels verdubbelt ransomware-record: 75 miljoen aan losgeld

Cybercriminelen bewegen steeds meer richting grote doelwitten. Zo ook Dark Angels, de ransomware-groep die verreweg het grootste losgeldbedrag ooit hebben ontfutseld aan een slachtoffer: 75 miljoen dollar.

Dark Angels is begonnen in mei 2022, maar bleef lang onder de radar ondanks dat het grote aanvallen uitvoerde. De reden daarvoor is dat een ransomware-organisatie als LockBit vooral heel veel slachtoffers maakt voor relatief lage bedragen. Dark Angels daarentegen kiest voor “Big Game Hunting”: het gericht aanvallen van één organisatie.

Die strategie blijkt succesvol. Blockchain-watcher Chainalysis bevestigt dat de grootste ransomware-betaling ooit heeft plaatsgevonden. 75 miljoen dollar, omgerekend bijna 70 miljoen euro, aan cryptomunten werd overgemaakt naar Dark Angels voor een enkele infiltratie. Dat is bijna een verdubbeling van het eerdere record van 40 miljoen dollar dat CNA Financial in 2021 betaalde aan Phoenix Locker.

De betaler is onbekend, maar het zou om een Fortune 50-bedrijf gaan; BleepingComputer suggereert Cencora. Dit farmaceutisch bedrijf had in februari van dit jaar te maken met een cyberaanval die door niemand is opgeëist. Destijds gaf Cencora toe dat er data verloren was gegaan. Het was alweer de tweede keer in korte tijd dat de farmaceut door cybercriminelen was aangepakt, want ook in februari 2023 was het al raak.

Weken voorbereiding

In april hadden de onderzoekers bij Zscaler Threat Labz de Dark Angels-groep al goed en wel in de smiezen. Volgens hen is deze organisatie de nummer één ransomware-familie om in de gaten te houden. Het collectief is gedeeltelijk een herrijzenis van de groepen achter Babuk en Ragnar Locker. Een variant op eerstgenoemde werd onder meer door de Nederlandse politie neergehaald in januari, terwijl Ragnar Locker in oktober 2023 al de controle verloor over de eigen leaksites door toedoen van de autoriteiten.

Dark Angels is echter vooralsnog buiten schot gebleven. Het steelt regelmatig terabytes aan data, bij grote bedrijven soms zelfs 100 TB. Alleen al het wegsluizen van deze gegevens kost dagen tot weken. Pas nadat deze data-exfiltratie voltooid is, volgt het versleutelen van de systemen van de getroffen organisatie. Het beheert tevens de Dunghull-leaksite op de darkweb. Ook het Nederlandse Nexperia belandde op deze website nadat het door Dark Angels getroffen was.

De groep schroomt er niet voor om gigantische losgeldbedragen te eisen. Eerder poogde het al 51 miljoen dollar te krijgen van Johnson Controls, producent van industrieel gereedschap. Die lijkt niet te zijn ingegaan op deze eis in september 2023, maar het incident kostte het bedrijf wel circa 27 miljoen dollar in één kwartaal. Er bestaat dus een kans dat de totale schade vergelijkbaar zal zijn met het geëiste bedrag.

Aanzuigend effect

De onderhandelingen tussen ransomware-criminelen en organisaties zijn uiterst dubieus. Het is weliswaar (nog) legaal, maar wordt met klem ontmoedigd door overheden wereldwijd. Een “succesvolle” transactie levert de terugkeer van gestolen data op en de belofte dat de gegevens verwijderd zijn van de servers van de cybercriminelen. Dat valt beide niet te garanderen: zo stond WannaCry erom bekend dat het niks deed als slachtoffers betaalden.

Tegenwoordig vertrouwen cybercriminelen op een zekere reputatie bij het aftroggelen van geld. Een bewezen track record waaruit blijkt dat het de discutabele beloftes nakomt, is essentieel. Voor Dark Angels lijkt dat te gelden.

De succesvolle aanval kan goed een aanzuigend effect hebben voor andere kwaadwillenden. De trend om “Big Game” te “hunten”, ofwel grote organisaties te treffen, is al sinds begin 2022 gaande, tegelijk met de opkomst van Dark Angels. Daarnaast is de gezondheidszorg volgens Zscaler Threat Labz alleen maar een populairder doelwit geworden. De gevoelige data, hoge compliance-eisen, achterstallige IT-infrastructuur en doorgaans groot personeelsbestand maken het aanvalsoppervlak en de potentiële waarde enorm. Wel kent de maakindustrie nog steeds verreweg de grootste impact van ransomware, aldus Zscaler.

Lees ook: Lek in VMware gaf hackers volledige toegang tot ESXi-hypervisors