Ramson Cartel es un grupo de Ransomware as a Service (RaaS) que apareció a mediados de diciembre del año 2021. Se trata de una organización dedicada a realizar ataques de doble extorsión y presenta varias similitudes y superposiciones técnicas con el grupo de ramsonware REvil, que desapareció tan sólo un par de meses antes de que se detectara esta nueva organización, Ramson Cartel, y sólo un mes después de que 14 de sus presuntos miembros fueran arrestados en Rusia. Cuando surgió Ramson Cartel por primera vez, no estaba claro si era un cambio de marca de REvil o si se trataba de una organización no relacionada que reutilizó o imitó el código de ramsonware REvil.
Unit 42 se dio cuenta de la presencia de Ramson Cartel por primera vez a mediados de enero de 2022. Al percibir la primera actividad conocida de Ramson Cartel detectaron algunas similitudes y superposiciones técnicas con el ramsonware Revil. El hecho de que un grupo de ramsonware surja de otro anterior o es algo raro, es más, sucedió lo mismo con el BlackBasta -un conjunto que cuenta con miembros del conjunto Conti que fue responsable de hasta una decena de ataques de Ransomware en Latinoamérica, dos de ellos en México-.
Actualmente, Unit 42 considera que los operadores de Ramsom Cartel tenían acceso a versiones anteriores del código fuente del ransomware REvil, pero no a algunos de los desarrollos más recientes. Esto sugiere que hubo una relación entre los grupos en algún momento, aunque puede que no haya sido reciente.
Unit 42 también detectó a las primeras víctimas alrededor de enero de 2022 en EE. UU. y Francia. Ransom Cartel ha atacado organizaciones en varias industrias: educación, manufactura y servicios públicos y energía. Los miembros del equipo de respuesta a incidentes de Unit 42 también han ayudado con los esfuerzos de respuesta en varios casos de Ransom Cartel, ya que los clientes de Palo Alto Networks reciben ayuda con la detección y prevención del Black Basta Ransomware por medio de las soluciones de Cortex XDR y Firewalls de última generación como WildFire.
Mientras que REvil puede haber desaparecido, su influencia maliciosa no lo ha hecho. El operador del blog recién establecido parece tener algún tipo de acceso a REvil o vínculos con el grupo. De todos modos, el análisis de muestras de Ransom Cartel también proporciona una fuerte evidencia de vínculos con REvil. Unit 42 también ha notado que Ransom Cartel encripta servidores VMWare ESXi de Windows y Linux en ataques a redes corporativas.
Los ataques de Ransomware siguen creciendo gracias a las técnicas de encriptación avanzadas y mecanismos de entrega, es por eso que Palo Alto Networks se mantiene actualizado con sus constantes investigaciones en amenazas que se presentan cada día, informando al público y sus clientes para que siempre busquen la mejor opción en ciberseguridad.