RansomHub Ransomware
Kyberturvallisuusanalyytikot ovat paljastaneet uuden RansomHub-nimisen kiristysohjelmakannan. Raporttien mukaan sen takana olevat kyberrikolliset väittävät, etteivät he kohdista yhteisöihin Itsenäisten valtioiden yhteisön (IVY) maissa, Kuubassa, Pohjois-Koreassa ja Kiinassa. Tästä julistuksesta huolimatta he ovat aktiivisesti tartuttaneet useita merkittäviä organisaatioita lyhyen ajan sisällä. Heidän uhriensa joukossa ovat Change Healthcare, Christie's ja Frontier Communications. Erityisesti tutkijat korostavat, että RansomHub muistuttaa merkittävästi Knight Ransomwarea , joka on iteraatio aiemmin tunnistetusta kiristysohjelmasta nimeltä Cyclops .
Sisällysluettelo
Knight Ransomware Code tarjottiin myytäväksi kaikille kyberrikollisille
Knight Ransomware, joka tunnetaan myös nimellä Cyclops 2.0, ilmestyi toukokuussa 2023, ja se käytti kaksinkertaista kiristystekniikkaa uhrien tietojen varastamiseen ja salaamiseen voiton saamiseksi. Se pystyy toimimaan useilla alustoilla, mukaan lukien Windows, Linux, macOS, ESXi ja Android.
RAMP-verkkorikollisuusfoorumilla myydyt hyökkäykset tällä kiristysohjelmalla perustuivat usein tietojenkalastelu- ja keihäsphishing-taktiikoihin, joissa käytettiin petollisia liitteitä jakeluun. Ransomware-as-a-Service (RaaS) -toiminta lopetettiin helmikuun 2024 lopussa, ja sen lähdekoodi laitettiin myyntiin. Tämä siirto nosti esiin mahdollisuuden siirtyä uudelle näyttelijälle, joka on saattanut päivittää ja käynnistää sen uudelleen nimellä RansomHub.
Merkittäviä päällekkäisyyksiä RansomHubin ja Knight Ransomwaren välillä
Molemmat ransomware-kannat on kirjoitettu Go-kielellä, ja useimmat kunkin perheen versiot on peitetty Gobfuscatella. Näiden kahden välillä on huomattava koodin samankaltaisuus, mikä tekee niiden erottamisesta haastavaa.
Molemmat lunnasohjelmaperheet jakavat identtiset ohjevalikot komentorivikäyttöliittymässä. RansomHub kuitenkin esittelee uuden "lepotila"-vaihtoehdon, jonka avulla se voi pysyä passiivisena tietyn ajan (minuutteina) ennen suorittamista. Samanlaisia nukkumiskomentoja on havaittu muissa uhissa, kuten Chaos / Yashma ja Trigona Ransomware.
Knightin ja RansomHubin yhtäläisyydet ulottuvat merkkijonojen koodaamiseen käytettyihin hämärätekniikoihin, tiedostojen salaamisen jälkeen jäljelle jääneiden lunnaiden sisältöön ja niiden kykyyn käynnistää isäntä uudelleen vikasietotilaan ennen salauksen aloittamista.
Ensisijainen ero on cmd.exe:n kautta suoritettavien komentojen joukossa, vaikka niiden järjestys ja suoritus suhteessa muihin toimintoihin pysyvät samoina.
RansomHub Ransomware -ohjelmaa voivat käyttää veteraaniverkkorikolliset
RansomHub-hyökkäyksiä on havaittu hyödyntävän tunnettuja tietoturva-aukkoja (kuten ZeroLogon ) saadakseen pääsyn alkuun. He pudottavat etätyöpöytäohjelmistot, kuten Atera ja Splashtop, ennen kuin ottavat käyttöön kiristysohjelman. Pelkästään huhtikuussa 2024 lähes 30 vahvistettua hyökkäystä on yhdistetty tähän kiristysohjelmakantaan.
Tutkijat epäilevät, että RansomHub etsii aktiivisesti tytäryhtiöitä, joihin viimeaikaiset sulkemiset tai poistumistaktiikat vaikuttavat, kuten LockBit ja BlackCat (tunnetaan myös nimellä ALPHV ja Noberus). Uskotaan, että entinen Noberuksen tytäryhtiö Notchy saattaa nyt tehdä yhteistyötä RansomHubin kanssa. Lisäksi äskettäisessä RansomHub-hyökkäyksessä käytettiin työkaluja, jotka aiemmin liitettiin toiseen Noberuksen tytäryhtiöön, Scattered Spideriin.
RansomHubin toiminnan nopea laajentuminen viittaa siihen, että ryhmään voi kuulua kokeneita operaattoreita, joilla on kokemusta ja yhteyksiä kyber-maanalaisiin.
Ransomware-hyökkäykset ovat jälleen nousussa
RansomHub-kehitys tapahtuu keskellä kiristyshaittaohjelmien aktiivisuuden kasvua vuonna 2023, minkä jälkeen vuonna 2022 tapahtui lievää laskua. Mielenkiintoista on, että noin kolmannes vuoden aikana löydetystä 50 uudesta kiristysohjelmaperheestä on muunnelmia aiemmin tunnistetuista. Tämä suuntaus viittaa koodin kierrätyksen, toimijoiden päällekkäisyyksien ja uudelleenbrändäysstrategioiden yleistymiseen.
Nämä hyökkäykset ovat tunnettuja kaupallisesti saatavien ja laillisten etätyöpöytätyökalujen käytöstä Cobalt Striken sijaan. Kasvava riippuvuus tällaisiin laillisiin työkaluihin viittaa todennäköisesti hyökkääjien pyrkimyksiin kiertää havaitsemismekanismeja ja virtaviivaistaa toimintaansa, mikä vähentää tarvetta kehittää ja ylläpitää mukautettuja työkaluja.
Lunnasviestissä, jonka RansomHub Ransomwaren uhrit saavat, lukee:
'Hello!
Visit our Blog:
Tor Browser Links:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion/Links for normal browser:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion.ly/>>> Your data is stolen and encrypted.
- If you don't pay the ransom, the data will be published on our TOR darknet sites. Keep in mind that once your data appears on our leak site, it could be bought by your competitors at any second, so don't hesitate for a long time. The sooner you pay the ransom, the sooner your company will be safe.
>>> If you have an external or cloud backup; what happens if you don’t agree with us?- All countries have their own PDPL (Personal Data Protection Law) regulations. In the event that you do not agree with us, information pertaining to your companies and the data of your company’s customers will be published on the internet, and the respective country’s personal data usage authority will be informed. Moreover, confidential data related to your company will be shared with potential competitors through email and social media. You can be sure that you will incur damages far exceeding the amount we are requesting from you should you decide not to agree with us.
>>> Don't go to the police or the FBI for help and don't tell anyone that we attacked you.- Seeking their help will only make the situation worse,They will try to prevent you from negotiating with us, because the negotiations will make them look incompetent,After the incident report is handed over to the government department, you will be fined ,The government uses your fine to reward them.And you will not get anything, and except you and your company, the rest of the people will forget what happened!!!!!
>>> How to contact with us?- Install and run 'Tor Browser' from hxxps://www.torproject.org/download/
- Go to hxxp://h6tejafqdkdltp****************seslv6djgiukiii573xtid.onion/
- Log in using the Client ID: -
>>> WARNINGDO NOT MODIFY ENCRYPTED FILES YOURSELF.
DO NOT USE THIRD PARTY SOFTWARE TO RESTORE YOUR DATA.
YOU MAY DAMAGE YOUR FILES, IT WILL RESULT IN PERMANENT DATA LOSS.'
