RansomHub Ransomware
اكتشف محللو الأمن السيبراني سلالة جديدة من برامج الفدية تسمى RansomHub. وفقًا للتقارير، يزعم مجرمو الإنترنت الذين يقفون وراء ذلك أنهم لن يستهدفوا كيانات في دول رابطة الدول المستقلة (CIS) وكوبا وكوريا الشمالية والصين. وعلى الرغم من هذا الإعلان، فقد قاموا بإصابة العديد من المنظمات البارزة خلال فترة قصيرة. ومن بين ضحاياها شركات Change Healthcare، وChristie's، وFrontier Communications. ومن الجدير بالذكر أن الباحثين يسلطون الضوء على أن RansomHub يحمل تشابهًا كبيرًا مع Knight Ransomware ، وهو تكرار لبرنامج الفدية الذي تم تحديده مسبقًا والذي يسمى Cyclops .
جدول المحتويات
تم عرض رمز Knight Ransomware للبيع لجميع مجرمي الإنترنت
ظهر برنامج Knight Ransomware، المعروف أيضًا باسم Cyclops 2.0، في مايو 2023، باستخدام تقنيات الابتزاز المزدوج لسرقة بيانات الضحايا وتشفيرها لتحقيق الربح. إنه قادر على العمل على منصات مختلفة، بما في ذلك Windows وLinux وmacOS وESXi وAndroid.
غالبًا ما تعتمد الهجمات باستخدام برنامج الفدية هذا، الذي يتم بيعه في منتدى RAMP للجرائم الإلكترونية، على أساليب التصيد الاحتيالي والتصيد الاحتيالي باستخدام مرفقات احتيالية للتوزيع. توقفت عملية برامج الفدية كخدمة (RaaS) بحلول أواخر فبراير 2024، مع عرض كود المصدر الخاص بها للبيع. أثارت هذه الخطوة إمكانية النقل إلى ممثل جديد، والذي ربما قام بتحديثه وإعادة إطلاقه تحت اسم RansomHub.
تداخلات كبيرة بين RansomHub وKnight Ransomware
تتم كتابة كلا سلالتي برامج الفدية بلغة Go، ويتم حجب معظم إصدارات كل عائلة باستخدام Gobfuscate. هناك درجة كبيرة من التشابه في الكود بين الاثنين، مما يجعل من الصعب التمييز بينهما.
تشترك عائلتا برامج الفدية في قوائم مساعدة متطابقة على واجهة سطر الأوامر. ومع ذلك، يقدم RansomHub خيار "السكون" الجديد، مما يسمح له بالبقاء غير نشط لفترة محددة (بالدقائق) قبل التنفيذ. وقد لوحظت أوامر نوم مماثلة في تهديدات أخرى مثل Chaos / Yashma و Trigona Ransomware.
تمتد أوجه التشابه بين Knight وRansomHub إلى تقنيات التشويش المستخدمة لتشفير السلاسل، ومحتوى ملاحظات الفدية المتبقية بعد تشفير الملفات، وقدرتهما على إعادة تشغيل المضيف في الوضع الآمن قبل بدء التشفير.
يكمن الاختلاف الأساسي في مجموعة الأوامر التي يتم تنفيذها عبر cmd.exe، على الرغم من أن تسلسلها وتنفيذها بالنسبة للعمليات الأخرى يظل كما هو.
قد يتم تشغيل برنامج RansomHub Ransomware بواسطة مجرمين إلكترونيين مخضرمين
لقد لوحظ أن هجمات RansomHub تستغل الثغرات الأمنية المعروفة (مثل ZeroLogon ) للوصول الأولي. لقد قاموا بإسقاط برامج سطح المكتب البعيد مثل Atera وSplashtop قبل نشر برامج الفدية. وفي أبريل 2024 وحده، تم ربط ما يقرب من 30 هجومًا مؤكدًا بسلالة برامج الفدية هذه.
يشتبه الباحثون في أن RansomHub يبحث بنشاط عن الشركات التابعة المتأثرة بعمليات الإغلاق أو تكتيكات الخروج الأخيرة، مثل تلك الخاصة بـ LockBit و BlackCat (المعروفة أيضًا باسم ALPHV وNoberus). من المعتقد أن شركة تابعة سابقة لـ Noberus تدعى Notchy ربما تتعاون الآن مع RansomHub. بالإضافة إلى ذلك، تم استخدام الأدوات المرتبطة سابقًا بشركة تابعة أخرى لـ Noberus، وهي Scattered Spider، في هجوم RansomHub الأخير.
يشير التوسع السريع لعمليات RansomHub إلى أن المجموعة قد تضم مشغلين متمرسين يتمتعون بالخبرة والاتصالات في العمل السري السيبراني.
هجمات برامج الفدية تتزايد مرة أخرى
ويأتي تطوير RansomHub وسط ارتفاع في نشاط برامج الفدية في عام 2023، بعد انخفاض طفيف في عام 2022. ومن المثير للاهتمام أن حوالي ثلث عائلات برامج الفدية الخمسين الجديدة التي تم اكتشافها خلال العام هي أشكال مختلفة من تلك التي تم تحديدها مسبقًا. ويشير هذا الاتجاه إلى تزايد انتشار إعادة تدوير التعليمات البرمجية، وتداخل الجهات الفاعلة، واستراتيجيات تغيير العلامة التجارية.
تتميز هذه الهجمات باستخدامها لأدوات سطح المكتب البعيد المشروعة والمتوفرة تجاريًا بدلاً من الاعتماد على Cobalt Strike . من المحتمل أن يشير الاعتماد المتزايد على مثل هذه الأدوات المشروعة إلى جهود المهاجمين للتهرب من آليات الكشف وتبسيط عملياتهم، مما يقلل الحاجة إلى تطوير أدوات مخصصة وصيانتها.
ملاحظة الفدية التي سيتلقاها ضحايا RansomHub Ransomware هي كما يلي:
'Hello!
Visit our Blog:
Tor Browser Links:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion/Links for normal browser:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion.ly/>>> Your data is stolen and encrypted.
- If you don't pay the ransom, the data will be published on our TOR darknet sites. Keep in mind that once your data appears on our leak site, it could be bought by your competitors at any second, so don't hesitate for a long time. The sooner you pay the ransom, the sooner your company will be safe.
>>> If you have an external or cloud backup; what happens if you don’t agree with us?- All countries have their own PDPL (Personal Data Protection Law) regulations. In the event that you do not agree with us, information pertaining to your companies and the data of your company’s customers will be published on the internet, and the respective country’s personal data usage authority will be informed. Moreover, confidential data related to your company will be shared with potential competitors through email and social media. You can be sure that you will incur damages far exceeding the amount we are requesting from you should you decide not to agree with us.
>>> Don't go to the police or the FBI for help and don't tell anyone that we attacked you.- Seeking their help will only make the situation worse,They will try to prevent you from negotiating with us, because the negotiations will make them look incompetent,After the incident report is handed over to the government department, you will be fined ,The government uses your fine to reward them.And you will not get anything, and except you and your company, the rest of the people will forget what happened!!!!!
>>> How to contact with us?- Install and run 'Tor Browser' from hxxps://www.torproject.org/download/
- Go to hxxp://h6tejafqdkdltp****************seslv6djgiukiii573xtid.onion/
- Log in using the Client ID: -
>>> WARNINGDO NOT MODIFY ENCRYPTED FILES YOURSELF.
DO NOT USE THIRD PARTY SOFTWARE TO RESTORE YOUR DATA.
YOU MAY DAMAGE YOUR FILES, IT WILL RESULT IN PERMANENT DATA LOSS.'
