RansomHub рансъмуер
Анализаторите на киберсигурността откриха нов щам софтуер за откуп, наречен RansomHub. Според докладите киберпрестъпниците, които стоят зад него, твърдят, че няма да се насочат към организации в страните от Общността на независимите държави (ОНД), Куба, Северна Корея и Китай. Въпреки тази декларация, те активно заразиха няколко видни организации в рамките на кратък период от време. Сред техните жертви са Change Healthcare, Christie's и Frontier Communications. По-специално, изследователите подчертават, че RansomHub има значителна прилика с Knight Ransomware , който е итерация на идентифицирания по-рано рансъмуер, наречен Cyclops .
Съдържание
Кодът на Knight Ransomware беше предложен за продажба на всички киберпрестъпници
Knight Ransomware, известен също като Cyclops 2.0, се появи през май 2023 г., използвайки двойни техники за изнудване за кражба и криптиране на данни на жертвите с цел печалба. Той може да работи на различни платформи, включително Windows, Linux, macOS, ESXi и Android.
Продаден във форума за киберпрестъпления RAMP, атаките с този ransomware често разчитат на тактики за фишинг и фишинг, като се използват измамни прикачени файлове за разпространение. Операцията Ransomware като услуга (RaaS) е прекратена до края на февруари 2024 г., като нейният изходен код е обявен за продажба. Този ход повдигна възможността за прехвърляне към нов актьор, който може да го е актуализирал и пуснал отново под името RansomHub.
Значително припокриване между RansomHub и Knight Ransomware
И двата щама рансъмуер са написани на Go и повечето версии на всяка фамилия са обфусцирани с Gobfuscate. Има значителна степен на сходство на кода между двете, което прави разграничаването им трудно.
И двете фамилии рансъмуер споделят идентични помощни менюта в интерфейса на командния ред. RansomHub обаче въвежда нова опция за „заспиване“, която му позволява да остане неактивен за определен период (в минути), преди да бъде изпълнен. Подобни команди за заспиване са наблюдавани при други заплахи като Chaos / Yashma и Trigona Ransomware.
Приликите между Knight и RansomHub се простират до техниките за обфускация, използвани за кодиране на низове, съдържанието на бележките за откуп, оставени след криптиране на файлове, и способността им да рестартират хост в безопасен режим, преди да започне криптирането.
Основната разлика е в набора от команди, изпълнявани чрез cmd.exe, въпреки че тяхната последователност и изпълнение спрямо други операции остават същите.
Рансъмуерът RansomHub може да се управлява от киберпрестъпници ветерани
Наблюдавани са атаки на RansomHub, използващи известни уязвимости в сигурността (като ZeroLogon ), за да получат първоначален достъп. Те пускат софтуер за отдалечен работен плот като Atera и Splashtop, преди да разположат ransomware. Само през април 2024 г. близо 30 потвърдени атаки са свързани с този щам рансъмуер.
Изследователите подозират, че RansomHub активно търси филиали, засегнати от скорошни спирания или тактики за излизане, като тези на LockBit и BlackCat (известни също като ALPHV и Noberus). Смята се, че бивш филиал на Noberus, наречен Notchy, сега може да си сътрудничи с RansomHub. Освен това инструменти, свързани преди това с друг филиал на Noberus, Scattered Spider, бяха използвани в скорошна атака на RansomHub.
Бързото разширяване на операциите на RansomHub предполага, че групата може да се състои от опитни оператори с опит и връзки в кибернетичното пространство.
Ransomware атаките отново се увеличават
Разработката на RansomHub идва на фона на нарастване на активността на рансъмуер през 2023 г., след лек спад през 2022 г. Интересното е, че около една трета от 50-те нови семейства рансъмуер, открити през годината, са вариации на идентифицирани преди това. Тази тенденция предполага нарастващо разпространение на рециклиране на код, припокриване на актьори и стратегии за ребрандиране.
Тези атаки се отличават с използването на налични в търговската мрежа и законни инструменти за отдалечен работен плот, вместо да разчитат на Cobalt Strike . Нарастващото разчитане на такива легитимни инструменти вероятно показва усилията на нападателите да избегнат механизмите за откриване и да рационализират своите операции, намалявайки необходимостта от разработване и поддържане на персонализирани инструменти.
Бележката за откуп, която ще получат жертвите на рансъмуера RansomHub, гласи:
'Hello!
Visit our Blog:
Tor Browser Links:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion/Links for normal browser:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion.ly/>>> Your data is stolen and encrypted.
- If you don't pay the ransom, the data will be published on our TOR darknet sites. Keep in mind that once your data appears on our leak site, it could be bought by your competitors at any second, so don't hesitate for a long time. The sooner you pay the ransom, the sooner your company will be safe.
>>> If you have an external or cloud backup; what happens if you don’t agree with us?- All countries have their own PDPL (Personal Data Protection Law) regulations. In the event that you do not agree with us, information pertaining to your companies and the data of your company’s customers will be published on the internet, and the respective country’s personal data usage authority will be informed. Moreover, confidential data related to your company will be shared with potential competitors through email and social media. You can be sure that you will incur damages far exceeding the amount we are requesting from you should you decide not to agree with us.
>>> Don't go to the police or the FBI for help and don't tell anyone that we attacked you.- Seeking their help will only make the situation worse,They will try to prevent you from negotiating with us, because the negotiations will make them look incompetent,After the incident report is handed over to the government department, you will be fined ,The government uses your fine to reward them.And you will not get anything, and except you and your company, the rest of the people will forget what happened!!!!!
>>> How to contact with us?- Install and run 'Tor Browser' from hxxps://www.torproject.org/download/
- Go to hxxp://h6tejafqdkdltp****************seslv6djgiukiii573xtid.onion/
- Log in using the Client ID: -
>>> WARNINGDO NOT MODIFY ENCRYPTED FILES YOURSELF.
DO NOT USE THIRD PARTY SOFTWARE TO RESTORE YOUR DATA.
YOU MAY DAMAGE YOUR FILES, IT WILL RESULT IN PERMANENT DATA LOSS.'
