RansomHub Ransomware
Analytici kybernetické bezpečnosti odhalili nový kmen ransomwaru s názvem RansomHub. Podle zpráv kyberzločinci, kteří za tím stojí, tvrdí, že se nezaměří na subjekty v zemích Společenství nezávislých států (SNS), na Kubě, v Severní Koreji a Číně. Navzdory tomuto prohlášení aktivně infikovali několik významných organizací během krátké doby. Mezi jejich oběti patří Change Healthcare, Christie's a Frontier Communications. Vědci zejména zdůrazňují, že RansomHub má významnou podobnost s Knight Ransomware , což je iterace dříve identifikovaného ransomwaru zvaného Cyclops .
Obsah
Knight Ransomware Code byl nabídnut k prodeji všem kyberzločincům
Knight Ransomware, také známý jako Cyclops 2.0, se objevil v květnu 2023 a využívá techniky dvojitého vydírání ke krádeži a šifrování dat obětí za účelem zisku. Je schopen fungovat na různých platformách, včetně Windows, Linux, macOS, ESXi a Android.
Útoky s tímto ransomwarem, prodávané na fóru kyberzločinu RAMP, často spoléhaly na taktiku phishingu a spear-phishingu, přičemž k distribuci používaly podvodné přílohy. Provoz Ransomware-as-a-Service (RaaS) byl ukončen koncem února 2024 a jeho zdrojový kód byl nabídnut k prodeji. Tento krok zvýšil možnost převodu k novému herci, který jej mohl aktualizovat a znovu spustit pod názvem RansomHub.
Významné překrývání mezi RansomHub a Knight Ransomware
Oba kmeny ransomwaru jsou napsány v Go a většina verzí každé rodiny je zatemněna pomocí Gobfuscate. Mezi těmito dvěma existuje značný stupeň podobnosti kódu, takže je obtížné je rozlišit.
Obě rodiny ransomwaru sdílejí identické nabídky nápovědy v rozhraní příkazového řádku. RansomHub však zavádí novou možnost „spánku“, která umožňuje zůstat neaktivní po určitou dobu (v minutách) před spuštěním. Podobné příkazy spánku byly pozorovány u jiných hrozeb, jako je Chaos / Yashma a Trigona Ransomware.
Podobnosti mezi Knight a RansomHub se rozšiřují na techniky zmatku používané pro kódování řetězců, obsah poznámek o výkupném po zašifrování souborů a jejich schopnost restartovat hostitele do nouzového režimu před zahájením šifrování.
Primární rozdíl spočívá v sadě příkazů prováděných přes cmd.exe, i když jejich pořadí a provádění vzhledem k ostatním operacím zůstávají stejné.
Ransomware RansomHub může být provozován zkušenými kyberzločinci
Byly pozorovány útoky RansomHub využívající známé bezpečnostní chyby (jako je ZeroLogon ) k získání počátečního přístupu. Před nasazením ransomwaru zahodí software pro vzdálenou plochu, jako je Atera a Splashtop. Jen v dubnu 2024 bylo s tímto ransomwarem spojeno téměř 30 potvrzených útoků.
Výzkumníci mají podezření, že RansomHub aktivně hledá přidružené společnosti ovlivněné nedávnými odstávkami nebo ukončovacími taktikami, jako jsou ty LockBit a BlackCat (také známé jako ALPHV a Noberus). Předpokládá se, že s RansomHub by nyní mohla spolupracovat bývalá přidružená společnost Noberus s názvem Notchy. Kromě toho byly při nedávném útoku na RansomHub použity nástroje dříve spojené s jinou přidruženou společností Noberus, Scattered Spider.
Rychlá expanze operací RansomHub naznačuje, že skupina může zahrnovat ostřílené operátory se zkušenostmi a kontakty v kybernetickém podzemí.
Ransomwarové útoky jsou opět na vzestupu
Vývoj RansomHub přichází uprostřed nárůstu aktivity ransomwaru v roce 2023, po mírném poklesu v roce 2022. Je zajímavé, že asi třetina z 50 nových rodin ransomwaru objevených během roku jsou variacemi dříve identifikovaných rodin. Tento trend naznačuje rostoucí prevalenci recyklace kódu, překrývání aktérů a strategií rebrandingu.
Tyto útoky jsou pozoruhodné tím, že používají komerčně dostupné a legitimní nástroje vzdálené plochy spíše než spoléhání na Cobalt Strike . Rostoucí závislost na těchto legitimních nástrojích pravděpodobně naznačuje snahu útočníků vyhnout se detekčním mechanismům a zefektivnit své operace, což snižuje potřebu vývoje a údržby vlastních nástrojů.
Výkupné, které oběti RansomHub Ransomware obdrží, zní:
'Hello!
Visit our Blog:
Tor Browser Links:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion/Links for normal browser:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion.ly/>>> Your data is stolen and encrypted.
- If you don't pay the ransom, the data will be published on our TOR darknet sites. Keep in mind that once your data appears on our leak site, it could be bought by your competitors at any second, so don't hesitate for a long time. The sooner you pay the ransom, the sooner your company will be safe.
>>> If you have an external or cloud backup; what happens if you don’t agree with us?- All countries have their own PDPL (Personal Data Protection Law) regulations. In the event that you do not agree with us, information pertaining to your companies and the data of your company’s customers will be published on the internet, and the respective country’s personal data usage authority will be informed. Moreover, confidential data related to your company will be shared with potential competitors through email and social media. You can be sure that you will incur damages far exceeding the amount we are requesting from you should you decide not to agree with us.
>>> Don't go to the police or the FBI for help and don't tell anyone that we attacked you.- Seeking their help will only make the situation worse,They will try to prevent you from negotiating with us, because the negotiations will make them look incompetent,After the incident report is handed over to the government department, you will be fined ,The government uses your fine to reward them.And you will not get anything, and except you and your company, the rest of the people will forget what happened!!!!!
>>> How to contact with us?- Install and run 'Tor Browser' from hxxps://www.torproject.org/download/
- Go to hxxp://h6tejafqdkdltp****************seslv6djgiukiii573xtid.onion/
- Log in using the Client ID: -
>>> WARNINGDO NOT MODIFY ENCRYPTED FILES YOURSELF.
DO NOT USE THIRD PARTY SOFTWARE TO RESTORE YOUR DATA.
YOU MAY DAMAGE YOUR FILES, IT WILL RESULT IN PERMANENT DATA LOSS.'
