RansomHub Ransomware
Αναλυτές κυβερνοασφάλειας ανακάλυψαν ένα νέο στέλεχος ransomware που ονομάζεται RansomHub. Σύμφωνα με αναφορές, οι κυβερνοεγκληματίες πίσω από αυτό ισχυρίζονται ότι δεν θα στοχοποιήσουν οντότητες στις χώρες της Κοινοπολιτείας Ανεξάρτητων Κρατών (CIS), την Κούβα, τη Βόρεια Κορέα και την Κίνα. Παρά τη δήλωση αυτή, έχουν μολύνει ενεργά αρκετές εξέχουσες οργανώσεις μέσα σε σύντομο χρονικό διάστημα. Μεταξύ των θυμάτων τους είναι η Change Healthcare, η Christie's και η Frontier Communications. Συγκεκριμένα, οι ερευνητές τονίζουν ότι το RansomHub έχει σημαντική ομοιότητα με το Knight Ransomware , το οποίο είναι μια επανάληψη του προηγουμένως αναγνωρισμένου ransomware που ονομάζεται Cyclops .
Πίνακας περιεχομένων
Ο κώδικας Knight Ransomware προσφέρθηκε προς πώληση σε όλους τους κυβερνοεγκληματίες
Το Knight Ransomware, γνωστό και ως Cyclops 2.0, εμφανίστηκε τον Μάιο του 2023, χρησιμοποιώντας τεχνικές διπλού εκβιασμού για την κλοπή και την κρυπτογράφηση των δεδομένων των θυμάτων με σκοπό το κέρδος. Είναι ικανό να λειτουργεί σε διάφορες πλατφόρμες, συμπεριλαμβανομένων των Windows, Linux, macOS, ESXi και Android.
Πωλούνται στο φόρουμ RAMP για το έγκλημα στον κυβερνοχώρο, οι επιθέσεις με αυτό το ransomware συχνά βασίζονταν σε τακτικές phishing και spear-phishing, χρησιμοποιώντας δόλια συνημμένα για διανομή. Η λειτουργία Ransomware-as-a-Service (RaaS) σταμάτησε μέχρι τα τέλη Φεβρουαρίου 2024, με τον πηγαίο κώδικα να διατίθεται προς πώληση. Αυτή η κίνηση αύξησε την πιθανότητα μεταγραφής σε έναν νέο ηθοποιό, ο οποίος μπορεί να το ενημέρωσε και να το επανακυκλοφορήσει με το όνομα RansomHub.
Σημαντικές επικαλύψεις μεταξύ του RansomHub και του Knight Ransomware
Και τα δύο στελέχη ransomware είναι γραμμένα στο Go και οι περισσότερες εκδόσεις κάθε οικογένειας είναι ασαφείς με το Gobfuscate. Υπάρχει σημαντικός βαθμός ομοιότητας κώδικα μεταξύ των δύο, γεγονός που καθιστά δύσκολη τη διάκρισή τους.
Και οι δύο οικογένειες ransomware μοιράζονται τα ίδια μενού βοήθειας στη διεπαφή της γραμμής εντολών. Ωστόσο, το RansomHub εισάγει μια νέα επιλογή 'sleep', επιτρέποντάς της να παραμείνει ανενεργή για μια καθορισμένη περίοδο (σε λεπτά) πριν από την εκτέλεση. Παρόμοιες εντολές ύπνου έχουν παρατηρηθεί σε άλλες απειλές όπως το Chaos / Yashma και το Trigona Ransomware.
Οι ομοιότητες μεταξύ του Knight και του RansomHub επεκτείνονται στις τεχνικές συσκότισης που χρησιμοποιούνται για την κωδικοποίηση συμβολοσειρών, το περιεχόμενο των σημειώσεων λύτρων που απομένουν μετά την κρυπτογράφηση αρχείων και την ικανότητά τους να επανεκκινούν έναν κεντρικό υπολογιστή σε ασφαλή λειτουργία πριν ξεκινήσει η κρυπτογράφηση.
Η κύρια διαφορά έγκειται στο σύνολο των εντολών που εκτελούνται μέσω του cmd.exe, αν και η ακολουθία και η εκτέλεσή τους σε σχέση με άλλες λειτουργίες παραμένουν οι ίδιες.
Το RansomHub Ransomware μπορεί να λειτουργήσει από βετεράνους κυβερνοεγκληματίες
Επιθέσεις RansomHub έχουν παρατηρηθεί να εκμεταλλεύονται γνωστά τρωτά σημεία ασφαλείας (όπως το ZeroLogon ) για να αποκτήσουν αρχική πρόσβαση. Αφήνουν λογισμικό απομακρυσμένης επιφάνειας εργασίας όπως το Atera και το Splashtop πριν αναπτύξουν ransomware. Μόνο τον Απρίλιο του 2024, σχεδόν 30 επιβεβαιωμένες επιθέσεις έχουν συνδεθεί με αυτό το στέλεχος ransomware.
Οι ερευνητές υποπτεύονται ότι το RansomHub αναζητά ενεργά θυγατρικές που επηρεάζονται από πρόσφατους τερματισμούς λειτουργίας ή τακτικές εξόδου, όπως αυτές των LockBit και BlackCat (γνωστές επίσης ως ALPHV και Noberus). Πιστεύεται ότι μια πρώην θυγατρική της Noberus που ονομάζεται Notchy μπορεί τώρα να συνεργάζεται με το RansomHub. Επιπλέον, εργαλεία που συνδέονταν προηγουμένως με μια άλλη θυγατρική της Noberus, το Scattered Spider, χρησιμοποιήθηκαν σε μια πρόσφατη επίθεση RansomHub.
Η ταχεία επέκταση των εργασιών του RansomHub υποδηλώνει ότι η ομάδα μπορεί να περιλαμβάνει έμπειρους χειριστές με εμπειρία και συνδέσεις στον υπόγειο κυβερνοχώρο.
Οι επιθέσεις Ransomware είναι σε άνοδο ξανά
Η ανάπτυξη του RansomHub έρχεται εν μέσω αύξησης της δραστηριότητας ransomware το 2023, μετά από μια ελαφρά μείωση το 2022. Είναι ενδιαφέρον ότι περίπου το ένα τρίτο των 50 νέων οικογενειών ransomware που ανακαλύφθηκαν κατά τη διάρκεια του έτους είναι παραλλαγές από εκείνες που είχαν εντοπιστεί προηγουμένως. Αυτή η τάση υποδηλώνει μια αυξανόμενη επικράτηση των στρατηγικών ανακύκλωσης κώδικα, επικαλύψεων παραγόντων και επαναπροσδιορισμού της επωνυμίας.
Αυτές οι επιθέσεις είναι αξιοσημείωτες για τη χρήση εμπορικά διαθέσιμων και νόμιμων εργαλείων απομακρυσμένης επιφάνειας εργασίας αντί να βασίζονται στο Cobalt Strike . Η αυξανόμενη εξάρτηση από τέτοια νόμιμα εργαλεία πιθανώς υποδηλώνει τις προσπάθειες των επιτιθέμενων να αποφύγουν τους μηχανισμούς ανίχνευσης και να εξορθολογίσουν τις δραστηριότητές τους, μειώνοντας την ανάγκη για ανάπτυξη και διατήρηση προσαρμοσμένων εργαλείων.
Η σημείωση λύτρων που θα λάβουν τα θύματα του RansomHub Ransomware αναφέρει:
'Hello!
Visit our Blog:
Tor Browser Links:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion/Links for normal browser:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion.ly/>>> Your data is stolen and encrypted.
- If you don't pay the ransom, the data will be published on our TOR darknet sites. Keep in mind that once your data appears on our leak site, it could be bought by your competitors at any second, so don't hesitate for a long time. The sooner you pay the ransom, the sooner your company will be safe.
>>> If you have an external or cloud backup; what happens if you don’t agree with us?- All countries have their own PDPL (Personal Data Protection Law) regulations. In the event that you do not agree with us, information pertaining to your companies and the data of your company’s customers will be published on the internet, and the respective country’s personal data usage authority will be informed. Moreover, confidential data related to your company will be shared with potential competitors through email and social media. You can be sure that you will incur damages far exceeding the amount we are requesting from you should you decide not to agree with us.
>>> Don't go to the police or the FBI for help and don't tell anyone that we attacked you.- Seeking their help will only make the situation worse,They will try to prevent you from negotiating with us, because the negotiations will make them look incompetent,After the incident report is handed over to the government department, you will be fined ,The government uses your fine to reward them.And you will not get anything, and except you and your company, the rest of the people will forget what happened!!!!!
>>> How to contact with us?- Install and run 'Tor Browser' from hxxps://www.torproject.org/download/
- Go to hxxp://h6tejafqdkdltp****************seslv6djgiukiii573xtid.onion/
- Log in using the Client ID: -
>>> WARNINGDO NOT MODIFY ENCRYPTED FILES YOURSELF.
DO NOT USE THIRD PARTY SOFTWARE TO RESTORE YOUR DATA.
YOU MAY DAMAGE YOUR FILES, IT WILL RESULT IN PERMANENT DATA LOSS.'
