باج افزار RansomHub
تحلیلگران امنیت سایبری نوع جدیدی از باج افزار به نام RansomHub را کشف کرده اند. بر اساس گزارش ها، مجرمان سایبری پشت آن ادعا می کنند که نهادهای کشورهای مشترک المنافع کشورهای مستقل (CIS)، کوبا، کره شمالی و چین را هدف قرار نخواهند داد. علیرغم این اعلامیه، آنها به طور فعال چندین سازمان برجسته را در مدت کوتاهی آلوده کرده اند. در میان قربانیان آنها می توان به Change Healthcare، Christie's و Frontier Communications اشاره کرد. به طور قابلتوجهی، محققان تاکید میکنند که RansomHub شباهت زیادی به باجافزار Knight دارد که تکراری از باجافزار شناساییشده قبلی به نام Cyclops است.
فهرست مطالب
کد باج افزار Knight برای فروش به همه مجرمان سایبری ارائه شد
باجافزار Knight، که با نام Cyclops 2.0 نیز شناخته میشود، در ماه می سال ۲۰۲۳ با استفاده از تکنیکهای اخاذی مضاعف برای سرقت و رمزگذاری دادههای قربانیان برای کسب سود، پدیدار شد. این قابلیت بر روی پلتفرم های مختلف از جمله ویندوز، لینوکس، macOS، ESXi و اندروید را دارد.
حملات با این باجافزار که در انجمن جرایم سایبری RAMP فروخته میشوند، اغلب به تاکتیکهای فیشینگ و نیزهفیشینگ، با استفاده از پیوستهای جعلی برای توزیع متکی هستند. عملیات Ransomware-as-a-Service (RaaS) تا اواخر فوریه 2024 متوقف شد و کد منبع آن برای فروش گذاشته شد. این حرکت امکان انتقال به یک بازیگر جدید را افزایش داد که احتمالاً آن را با نام RansomHub به روز کرده و دوباره راه اندازی کرده است.
همپوشانی های قابل توجهی بین RansomHub و باج افزار Knight
هر دو نوع باج افزار در Go نوشته شده اند و اکثر نسخه های هر خانواده با Gobfuscate مبهم هستند. شباهت کد قابل توجهی بین این دو وجود دارد که تشخیص آنها را دشوار می کند.
هر دو خانواده باج افزار منوهای کمک یکسانی را در رابط خط فرمان به اشتراک می گذارند. با این حال، RansomHub یک گزینه جدید 'sleep' معرفی می کند که به آن اجازه می دهد برای مدت مشخصی (در دقیقه) قبل از اجرا غیرفعال بماند. دستورات خواب مشابهی در تهدیدات دیگری مانند Chaos / Yashma و Trigona Ransomware مشاهده شده است.
شباهتهای بین Knight و RansomHub به تکنیکهای مبهم مورد استفاده برای رمزگذاری رشتهها، محتوای یادداشتهای باج به جا مانده پس از رمزگذاری فایلها و توانایی آنها برای راهاندازی مجدد میزبان به حالت امن قبل از شروع رمزگذاری گسترش مییابد.
تفاوت اصلی در مجموعه دستورات اجرا شده از طریق cmd.exe نهفته است، اگرچه ترتیب و اجرای آنها نسبت به سایر عملیات یکسان است.
باج افزار RansomHub ممکن است توسط مجرمان سایبری کهنه کار اداره شود
حملات RansomHub مشاهده شده است که از آسیب پذیری های امنیتی شناخته شده (مانند ZeroLogon ) برای دستیابی به دسترسی اولیه سوء استفاده می کنند. آنها نرم افزارهای دسکتاپ از راه دور مانند Atera و Splashtop را قبل از استقرار باج افزار حذف می کنند. تنها در آوریل 2024، نزدیک به 30 حمله تایید شده به این گونه باج افزار مرتبط بوده است.
محققان گمان میکنند که RansomHub فعالانه به دنبال شرکتهای وابسته تحت تأثیر تاکتیکهای خاموش یا خروج اخیر است، مانند تاکتیکهای LockBit و BlackCat (همچنین به عنوان ALPHV و Noberus شناخته میشوند). اعتقاد بر این است که یک شرکت وابسته سابق Noberus به نام Notchy ممکن است اکنون با RansomHub همکاری کند. علاوه بر این، ابزارهایی که قبلاً با یکی دیگر از وابستههای Noberus، Scattered Spider مرتبط بودند، در حمله اخیر RansomHub استفاده شدند.
گسترش سریع عملیات RansomHub نشان می دهد که این گروه ممکن است متشکل از اپراتورهای باتجربه با تجربه و ارتباطات در زیرزمین سایبری باشد.
حملات باجافزاری دوباره در حال افزایش هستند
توسعه RansomHub در بحبوحه افزایش فعالیت باج افزارها در سال 2023، به دنبال کاهش جزئی در سال 2022 انجام شد. جالب توجه است، حدود یک سوم از 50 خانواده باج افزار جدید کشف شده در طول سال، انواع باج افزارهایی هستند که قبلاً شناسایی شده بودند. این روند حاکی از شیوع رو به رشد بازیافت کد، همپوشانی بازیگران و استراتژیهای تغییر نام تجاری است.
این حملات به دلیل استفاده از ابزارهای دسکتاپ راه دور تجاری در دسترس و قانونی به جای تکیه بر Cobalt Strike قابل توجه هستند. اتکای فزاینده به چنین ابزارهای قانونی احتمالاً نشان دهنده تلاش مهاجمان برای فرار از مکانیسم های شناسایی و ساده کردن عملیات آنها است و نیاز به توسعه و نگهداری ابزارهای سفارشی را کاهش می دهد.
در یادداشت باجگیری که قربانیان باجافزار RansomHub دریافت خواهند کرد، آمده است:
'Hello!
Visit our Blog:
Tor Browser Links:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion/Links for normal browser:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion.ly/>>> Your data is stolen and encrypted.
- If you don't pay the ransom, the data will be published on our TOR darknet sites. Keep in mind that once your data appears on our leak site, it could be bought by your competitors at any second, so don't hesitate for a long time. The sooner you pay the ransom, the sooner your company will be safe.
>>> If you have an external or cloud backup; what happens if you don’t agree with us?- All countries have their own PDPL (Personal Data Protection Law) regulations. In the event that you do not agree with us, information pertaining to your companies and the data of your company’s customers will be published on the internet, and the respective country’s personal data usage authority will be informed. Moreover, confidential data related to your company will be shared with potential competitors through email and social media. You can be sure that you will incur damages far exceeding the amount we are requesting from you should you decide not to agree with us.
>>> Don't go to the police or the FBI for help and don't tell anyone that we attacked you.- Seeking their help will only make the situation worse,They will try to prevent you from negotiating with us, because the negotiations will make them look incompetent,After the incident report is handed over to the government department, you will be fined ,The government uses your fine to reward them.And you will not get anything, and except you and your company, the rest of the people will forget what happened!!!!!
>>> How to contact with us?- Install and run 'Tor Browser' from hxxps://www.torproject.org/download/
- Go to hxxp://h6tejafqdkdltp****************seslv6djgiukiii573xtid.onion/
- Log in using the Client ID: -
>>> WARNINGDO NOT MODIFY ENCRYPTED FILES YOURSELF.
DO NOT USE THIRD PARTY SOFTWARE TO RESTORE YOUR DATA.
YOU MAY DAMAGE YOUR FILES, IT WILL RESULT IN PERMANENT DATA LOSS.'
