RansomHub Ransomware
Cybersikkerhedsanalytikere har afsløret en ny ransomware-stamme ved navn RansomHub. Ifølge rapporter hævder cyberkriminelle bag det, at de ikke vil målrette mod enheder i landene i Commonwealth of Independent States (CIS), Cuba, Nordkorea og Kina. På trods af denne erklæring har de aktivt inficeret adskillige prominente organisationer inden for et kort tidsrum. Blandt deres ofre er Change Healthcare, Christie's og Frontier Communications. Navnlig fremhæver forskere, at RansomHub har en betydelig lighed med Knight Ransomware , som er en iteration af den tidligere identificerede ransomware kaldet Cyclops .
Indholdsfortegnelse
Knight Ransomware-koden blev udbudt til salg til alle cyberkriminelle
Knight Ransomware, også kendt som Cyclops 2.0, dukkede op i maj 2023 ved at bruge dobbeltafpresningsteknikker til at stjæle og kryptere ofres data for profit. Den er i stand til at fungere på forskellige platforme, herunder Windows, Linux, macOS, ESXi og Android.
Angreb med denne ransomware, der blev solgt på RAMP cyberkriminalitetsforummet, var ofte afhængige af phishing- og spear-phishing-taktik ved at bruge svigagtige vedhæftede filer til distribution. Ransomware-as-a-Service (RaaS)-driften ophørte i slutningen af februar 2024, og dens kildekode blev sat til salg. Dette skridt rejste muligheden for en overførsel til en ny skuespiller, som muligvis har opdateret og relanceret den under navnet RansomHub.
Betydelige overlapninger mellem RansomHub og Knight Ransomware
Begge ransomware-stammer er skrevet i Go, og de fleste versioner af hver familie er sløret med Gobfuscate. Der er en betydelig grad af kodelighed mellem de to, hvilket gør det udfordrende at skelne dem.
Begge ransomware-familier deler identiske hjælpemenuer på kommandolinjegrænsefladen. RansomHub introducerer dog en ny 'sleep'-indstilling, der gør det muligt at forblive inaktiv i en bestemt periode (i minutter), før den udføres. Lignende søvnkommandoer er blevet observeret i andre trusler som Chaos / Yashma og Trigona Ransomware.
Lighederne mellem Knight og RansomHub strækker sig til sløringsteknikker, der bruges til kodning af strenge, indholdet af løsesumsedler, der er tilbage efter kryptering af filer, og deres evne til at genstarte en vært i sikker tilstand, før kryptering begynder.
Den primære forskel ligger i det sæt af kommandoer, der udføres via cmd.exe, selvom deres rækkefølge og udførelse i forhold til andre operationer forbliver den samme.
RansomHub Ransomware kan blive drevet af veteran-cyberkriminelle
RansomHub-angreb er blevet observeret, der udnytter kendte sikkerhedssårbarheder (såsom ZeroLogon ) for at få indledende adgang. De dropper fjernskrivebordssoftware som Atera og Splashtop, før de implementerer ransomware. Alene i april 2024 er næsten 30 bekræftede angreb blevet forbundet med denne ransomware-stamme.
Forskere formoder, at RansomHub aktivt søger tilknyttede selskaber, der er påvirket af nylige nedlukninger eller exit-taktik, som LockBit og BlackCat (også kendt som ALPHV og Noberus). Det menes, at et tidligere Noberus-tilknyttet selskab kaldet Notchy nu måske samarbejder med RansomHub. Derudover blev værktøjer, der tidligere var forbundet med et andet Noberus-tilknyttet selskab, Scattered Spider, brugt i et nyligt RansomHub-angreb.
Den hurtige udvidelse af RansomHubs aktiviteter antyder, at gruppen kan omfatte erfarne operatører med erfaring og forbindelser i cyberundergrunden.
Ransomware-angreb er på vej op igen
RansomHub-udviklingen kommer midt i en stigning i ransomware-aktivitet i 2023 efter et lille fald i 2022. Interessant nok er omkring en tredjedel af de 50 nye ransomware-familier, der blev opdaget i løbet af året, variationer af tidligere identificerede. Denne tendens tyder på en voksende udbredelse af kodegenbrug, aktøroverlapninger og rebrandingstrategier.
Disse angreb er bemærkelsesværdige for deres brug af kommercielt tilgængelige og legitime fjernskrivebordsværktøjer i stedet for at stole på Cobalt Strike . Den stigende afhængighed af sådanne legitime værktøjer indikerer sandsynligvis angribernes bestræbelser på at unddrage sig registreringsmekanismer og strømline deres operationer, hvilket reducerer behovet for at udvikle og vedligeholde brugerdefinerede værktøjer.
Løsesedlen, som ofre for RansomHub Ransomware vil modtage, lyder:
'Hello!
Visit our Blog:
Tor Browser Links:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion/Links for normal browser:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion.ly/>>> Your data is stolen and encrypted.
- If you don't pay the ransom, the data will be published on our TOR darknet sites. Keep in mind that once your data appears on our leak site, it could be bought by your competitors at any second, so don't hesitate for a long time. The sooner you pay the ransom, the sooner your company will be safe.
>>> If you have an external or cloud backup; what happens if you don’t agree with us?- All countries have their own PDPL (Personal Data Protection Law) regulations. In the event that you do not agree with us, information pertaining to your companies and the data of your company’s customers will be published on the internet, and the respective country’s personal data usage authority will be informed. Moreover, confidential data related to your company will be shared with potential competitors through email and social media. You can be sure that you will incur damages far exceeding the amount we are requesting from you should you decide not to agree with us.
>>> Don't go to the police or the FBI for help and don't tell anyone that we attacked you.- Seeking their help will only make the situation worse,They will try to prevent you from negotiating with us, because the negotiations will make them look incompetent,After the incident report is handed over to the government department, you will be fined ,The government uses your fine to reward them.And you will not get anything, and except you and your company, the rest of the people will forget what happened!!!!!
>>> How to contact with us?- Install and run 'Tor Browser' from hxxps://www.torproject.org/download/
- Go to hxxp://h6tejafqdkdltp****************seslv6djgiukiii573xtid.onion/
- Log in using the Client ID: -
>>> WARNINGDO NOT MODIFY ENCRYPTED FILES YOURSELF.
DO NOT USE THIRD PARTY SOFTWARE TO RESTORE YOUR DATA.
YOU MAY DAMAGE YOUR FILES, IT WILL RESULT IN PERMANENT DATA LOSS.'
