RansomHub Ransomware
Küberturvalisuse analüütikud on avastanud uue lunavara tüve nimega RansomHub. Aruannete kohaselt väidavad selle taga olevad küberkurjategijad, et nad ei sihiks Sõltumatute Riikide Ühenduse (SRÜ) riikides, Kuubal, Põhja-Koreas ja Hiinas asuvaid üksusi. Sellest deklaratsioonist hoolimata on nad lühikese aja jooksul aktiivselt nakatanud mitmeid silmapaistvaid organisatsioone. Nende ohvrite hulgas on Change Healthcare, Christie's ja Frontier Communications. Eelkõige rõhutavad teadlased, et RansomHubil on märkimisväärne sarnasus Knight Ransomware'iga , mis on varem tuvastatud lunavara Cyclops iteratsioon.
Sisukord
Knight Ransomware Code pakuti müügiks kõigile küberkurjategijatele
Knight Ransomware, tuntud ka kui Cyclops 2.0, ilmus 2023. aasta mais, kasutades ohvrite andmete varastamiseks ja krüpteerimiseks kasumi teenimiseks topeltväljapressimistehnikaid. See on võimeline töötama erinevatel platvormidel, sealhulgas Windows, Linux, macOS, ESXi ja Android.
Küberkuritegevuse foorumis RAMP müüdud lunavara rünnakud põhinesid sageli andmepüügi- ja andmepüügitaktikatel, kasutades levitamiseks petturlikke manuseid. Ransomware-as-a-Service (RaaS) tegevus lõppes 2024. aasta veebruari lõpus ja selle lähtekood pandi müüki. See samm tõstis võimaluse minna üle uuele näitlejale, kes võis seda RansomHubi nime all värskendada ja uuesti käivitada.
Olulised kattuvused RansomHubi ja Knight Ransomware vahel
Mõlemad lunavaratüved on kirjutatud Go-s ja enamik iga perekonna versioone on Gobfuscate'iga hägustatud. Nende kahe koodi vahel on märkimisväärne sarnasus, mistõttu on nende eristamine keeruline.
Mõlemad lunavaraperekonnad jagavad käsurea liideses identseid abimenüüd. RansomHub tutvustab aga uut unerežiimi, mis võimaldab sellel enne käivitamist teatud aja (minutites) passiivseks jääda. Sarnaseid unekäske on täheldatud ka teiste ohtude puhul, nagu Chaos / Yashma ja Trigona Ransomware.
Knighti ja RansomHubi sarnasused laienevad stringide kodeerimiseks kasutatavatele hägustamismeetoditele, pärast failide krüptimist jäetud lunaraha märkmete sisule ja nende võimele enne krüptimise algust host turvarežiimi taaskäivitada.
Peamine erinevus seisneb cmd.exe kaudu käivitatavate käskude komplektis, kuigi nende järjestus ja täitmine võrreldes muude toimingutega jäävad samaks.
RansomHubi lunavara võivad hallata veteranküberkurjategijad
Täheldatud on RansomHubi rünnakuid, mis kasutavad esialgse juurdepääsu saamiseks ära teadaolevaid turvaauke (nt ZeroLogon ). Nad loobuvad enne lunavara juurutamist kaugtöölaua tarkvarast, nagu Atera ja Splashtop. Ainuüksi 2024. aasta aprillis on selle lunavaratüvega seostatud ligi 30 kinnitatud rünnakut.
Teadlased kahtlustavad, et RansomHub otsib aktiivselt sidusettevõtteid, mida mõjutavad hiljutised seiskamised või väljumistaktikad, nagu näiteks LockBit ja BlackCat (tuntud ka kui ALPHV ja Noberus). Arvatakse, et endine Noberuse sidusettevõte nimega Notchy võib nüüd RansomHubiga koostööd teha. Lisaks kasutati hiljutises RansomHubi rünnakus tööriistu, mis olid varem seotud teise Noberuse sidusettevõttega Scattered Spider.
RansomHubi tegevuse kiire laienemine viitab sellele, et gruppi võivad kuuluda kogenud operaatorid, kellel on kogemusi ja sidemeid küber-maa-alal.
Lunavararünnakud on taas tõusuteel
RansomHubi arendus toimub keset lunavara aktiivsuse tõusu 2023. aastal, mis järgnes 2022. aasta väikesele langusele. Huvitaval kombel on umbes kolmandik aasta jooksul avastatud 50 uuest lunavaraperekonnast varem tuvastatud perekonna variatsioonid. See suundumus viitab koodide taaskasutamise, osalejate kattumise ja kaubamärgi muutmise strateegiate kasvavale levikule.
Need rünnakud on silmapaistvad pigem kaubanduslikult saadaolevate ja legitiimsete kaugtöölaua tööriistade kasutamise poolest, mitte Cobalt Strike'ile tuginedes. Suurenev sõltuvus sellistest legitiimsetest tööriistadest viitab tõenäoliselt ründajate jõupingutustele avastamismehhanismidest kõrvale hiilida ja oma toiminguid sujuvamaks muuta, vähendades vajadust kohandatud tööriistade arendamise ja hooldamise järele.
Lunarahateatis, mille RansomHub Ransomware ohvrid saavad, on järgmine:
'Hello!
Visit our Blog:
Tor Browser Links:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion/Links for normal browser:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion.ly/>>> Your data is stolen and encrypted.
- If you don't pay the ransom, the data will be published on our TOR darknet sites. Keep in mind that once your data appears on our leak site, it could be bought by your competitors at any second, so don't hesitate for a long time. The sooner you pay the ransom, the sooner your company will be safe.
>>> If you have an external or cloud backup; what happens if you don’t agree with us?- All countries have their own PDPL (Personal Data Protection Law) regulations. In the event that you do not agree with us, information pertaining to your companies and the data of your company’s customers will be published on the internet, and the respective country’s personal data usage authority will be informed. Moreover, confidential data related to your company will be shared with potential competitors through email and social media. You can be sure that you will incur damages far exceeding the amount we are requesting from you should you decide not to agree with us.
>>> Don't go to the police or the FBI for help and don't tell anyone that we attacked you.- Seeking their help will only make the situation worse,They will try to prevent you from negotiating with us, because the negotiations will make them look incompetent,After the incident report is handed over to the government department, you will be fined ,The government uses your fine to reward them.And you will not get anything, and except you and your company, the rest of the people will forget what happened!!!!!
>>> How to contact with us?- Install and run 'Tor Browser' from hxxps://www.torproject.org/download/
- Go to hxxp://h6tejafqdkdltp****************seslv6djgiukiii573xtid.onion/
- Log in using the Client ID: -
>>> WARNINGDO NOT MODIFY ENCRYPTED FILES YOURSELF.
DO NOT USE THIRD PARTY SOFTWARE TO RESTORE YOUR DATA.
YOU MAY DAMAGE YOUR FILES, IT WILL RESULT IN PERMANENT DATA LOSS.'
