RansomHub Ransomware
Els analistes de ciberseguretat han descobert una nova soca de ransomware anomenada RansomHub. Segons els informes, els ciberdelinqüents que hi ha al darrere afirmen que no apuntaran a les entitats dels països de la Comunitat d'Estats Independents (CEI), Cuba, Corea del Nord i la Xina. Malgrat aquesta declaració, han estat infectant activament diverses organitzacions destacades en un curt període de temps. Entre les seves víctimes hi ha Change Healthcare, Christie's i Frontier Communications. En particular, els investigadors destaquen que RansomHub té una semblança significativa amb Knight Ransomware , que és una iteració del ransomware identificat anteriorment anomenat Cyclops .
Taula de continguts
El codi de ransomware Knight es va oferir a la venda a tots els cibercriminals
El Knight Ransomware, també conegut com Cyclops 2.0, va sorgir el maig de 2023, utilitzant tècniques d'extorsió doble per robar i xifrar les dades de les víctimes amb ànim de lucre. És capaç d'operar en diverses plataformes, com Windows, Linux, macOS, ESXi i Android.
Venuts al fòrum de ciberdelinqüència RAMP, els atacs amb aquest ransomware sovint es basaven en tàctiques de pesca i pesca, utilitzant fitxers adjunts fraudulents per a la seva distribució. L'operació Ransomware-as-a-Service (RaaS) va cessar a finals de febrer de 2024, amb el seu codi font posat a la venda. Aquest moviment va plantejar la possibilitat d'una transferència a un nou actor, que potser l'hagués actualitzat i rellançat amb el nom de RansomHub.
Superposicions significatives entre RansomHub i Knight Ransomware
Les dues varietats de ransomware estan escrites a Go i la majoria de les versions de cada família estan ofuscades amb Gobfuscate. Hi ha un grau important de similitud de codi entre els dos, cosa que fa que sigui difícil distingir-los.
Les dues famílies de ransomware comparteixen menús d'ajuda idèntics a la interfície de línia d'ordres. Tanmateix, RansomHub introdueix una nova opció de "repòs", que li permet romandre inactiu durant un període determinat (en minuts) abans d'executar-se. S'han observat ordres de son similars en altres amenaces com Chaos / Yashma i Trigona Ransomware.
Les similituds entre Knight i RansomHub s'estenen a les tècniques d'ofuscament utilitzades per codificar cadenes, el contingut de les notes de rescat que queden després de xifrar fitxers i la seva capacitat per reiniciar un host en mode segur abans que comenci el xifratge.
La diferència principal rau en el conjunt d'ordres executades mitjançant cmd.exe, tot i que la seva seqüència i execució en relació amb altres operacions segueixen sent les mateixes.
El RansomHub Ransomware pot ser operat per cibercriminals veterans
S'han observat atacs de RansomHub aprofitant vulnerabilitats de seguretat conegudes (com ara ZeroLogon ) per obtenir l'accés inicial. Deixen anar programari d'escriptori remot com Atera i Splashtop abans de desplegar el ransomware. Només a l'abril de 2024, gairebé 30 atacs confirmats s'han relacionat amb aquesta soca de ransomware.
Els investigadors sospiten que RansomHub està buscant activament afiliats afectats per tancaments recents o tàctiques de sortida, com les de LockBit i BlackCat (també coneguts com ALPHV i Noberus). Es creu que una antiga filial de Noberus anomenada Notchy ara podria col·laborar amb RansomHub. A més, en un atac recent de RansomHub es van utilitzar eines anteriorment associades amb una altra filial de Noberus, Scattered Spider.
La ràpida expansió de les operacions de RansomHub suggereix que el grup pot incloure operadors experimentats amb experiència i connexions al ciber subterrani.
Els atacs de ransomware tornen a augmentar
El desenvolupament de RansomHub arriba enmig d'un augment de l'activitat de ransomware el 2023, després d'una lleugera disminució el 2022. Curiosament, aproximadament un terç de les 50 noves famílies de ransomware descobertes durant l'any són variacions de les identificades anteriorment. Aquesta tendència suggereix una prevalença creixent de reciclatge de codi, superposicions d'actors i estratègies de rebranding.
Aquests atacs destaquen pel seu ús d'eines d'escriptori remot legítimes i disponibles comercialment en lloc de confiar en Cobalt Strike . La creixent dependència d'aquestes eines legítimes probablement indica els esforços dels atacants per evadir els mecanismes de detecció i racionalitzar les seves operacions, reduint la necessitat de desenvolupar i mantenir eines personalitzades.
La nota de rescat que les víctimes del ransomware RansomHub rebran:
'Hello!
Visit our Blog:
Tor Browser Links:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion/Links for normal browser:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion.ly/>>> Your data is stolen and encrypted.
- If you don't pay the ransom, the data will be published on our TOR darknet sites. Keep in mind that once your data appears on our leak site, it could be bought by your competitors at any second, so don't hesitate for a long time. The sooner you pay the ransom, the sooner your company will be safe.
>>> If you have an external or cloud backup; what happens if you don’t agree with us?- All countries have their own PDPL (Personal Data Protection Law) regulations. In the event that you do not agree with us, information pertaining to your companies and the data of your company’s customers will be published on the internet, and the respective country’s personal data usage authority will be informed. Moreover, confidential data related to your company will be shared with potential competitors through email and social media. You can be sure that you will incur damages far exceeding the amount we are requesting from you should you decide not to agree with us.
>>> Don't go to the police or the FBI for help and don't tell anyone that we attacked you.- Seeking their help will only make the situation worse,They will try to prevent you from negotiating with us, because the negotiations will make them look incompetent,After the incident report is handed over to the government department, you will be fined ,The government uses your fine to reward them.And you will not get anything, and except you and your company, the rest of the people will forget what happened!!!!!
>>> How to contact with us?- Install and run 'Tor Browser' from hxxps://www.torproject.org/download/
- Go to hxxp://h6tejafqdkdltp****************seslv6djgiukiii573xtid.onion/
- Log in using the Client ID: -
>>> WARNINGDO NOT MODIFY ENCRYPTED FILES YOURSELF.
DO NOT USE THIRD PARTY SOFTWARE TO RESTORE YOUR DATA.
YOU MAY DAMAGE YOUR FILES, IT WILL RESULT IN PERMANENT DATA LOSS.'
