RansomHub Ransomware

אנליסטים של אבטחת סייבר חשפו זן חדש של תוכנת כופר בשם RansomHub. לפי דיווחים, פושעי הסייבר שמאחוריו טוענים שהם לא יתמקדו בישויות במדינות חבר העמים, קובה, צפון קוריאה וסין. למרות ההצהרה הזו, הם הדביקו באופן פעיל כמה ארגונים בולטים תוך פרק זמן קצר. בין הקורבנות שלהם ניתן למצוא את Change Healthcare, Christie's ו- Frontier Communications. יש לציין כי חוקרים מדגישים כי RansomHub מזכיר דמיון משמעותי ל- Knight Ransomware , שהיא איטרציה של תוכנת הכופר שזוהתה בעבר בשם Cyclops .

קוד הכופר של Knight הוצע למכירה לכל פושעי הסייבר

תוכנת הכופר של Knight, הידועה גם בשם Cyclops 2.0, הופיעה במאי 2023, תוך שימוש בטכניקות סחיטה כפולה כדי לגנוב ולהצפין נתונים של קורבנות למטרות רווח. הוא מסוגל לפעול בפלטפורמות שונות, כולל Windows, Linux, macOS, ESXi ו-Android.

התקפות עם תוכנת כופר זו, שנמכרה בפורום פשעי סייבר של RAMP, הסתמכו לעתים קרובות על טקטיקות דיוג ודיוג בחנית, תוך שימוש בקבצים מצורפים הונאה להפצה. פעולת Ransomware-as-a-Service (RaaS) הופסקה עד סוף פברואר 2024, עם קוד המקור שלה הוצע למכירה. מהלך זה העלה אפשרות של העברה לשחקן חדש, שאולי עדכן והשיק אותו מחדש תחת השם RansomHub.

חפיפות משמעותיות בין RansomHub ל-Knight Ransomware

שני זני תוכנות הכופר כתובים ב-Go, ורוב הגרסאות של כל משפחה מעורפלות עם Gobfuscate. יש מידה משמעותית של דמיון קוד בין השניים, מה שהופך את זה למאתגר להבחין ביניהם.

שתי משפחות תוכנות הכופר חולקות תפריטי עזרה זהים בממשק שורת הפקודה. עם זאת, RansomHub מציגה אפשרות 'שינה' חדשה, המאפשרת לו להישאר לא פעיל למשך תקופה מוגדרת (בדקות) לפני הביצוע. פקודות שינה דומות נצפו באיומים אחרים כמו Chaos / Yashma ו- Trigona Ransomware.

קווי הדמיון בין Knight ל-RansomHub מתרחבים לטכניקות הערפול המשמשות לקידוד מחרוזות, תוכן פתקי הכופר שנותרו לאחר הצפנת קבצים, והיכולת שלהם לאתחל מארח למצב בטוח לפני תחילת ההצפנה.

ההבדל העיקרי טמון בסט הפקודות המבוצעות באמצעות cmd.exe, אם כי הרצף והביצוע שלהן ביחס לפעולות אחרות נשארים זהים.

תוכנת הכופר RansomHub עשויה להיות מופעלת על ידי פושעי סייבר ותיקים

התקפות RansomHub נצפו המנצלות פרצות אבטחה ידועות (כגון ZeroLogon ) כדי לקבל גישה ראשונית. הם משחררים תוכנות לשולחן עבודה מרוחק כמו Atera ו-Splashtop לפני פריסת תוכנות כופר. באפריל 2024 לבדו, כמעט 30 התקפות מאושרות נקשרו לזן תוכנת הכופר הזה.

חוקרים חושדים ש-RansomHub מחפש באופן פעיל שותפים שהושפעו מהשבתות או טקטיקות יציאה אחרונות, כמו אלו של LockBit ו- BlackCat (הידועים גם כ-ALPHV ו-Noberus). מאמינים ששותף לשעבר של Noberus בשם Notchy עשוי כעת לשתף פעולה עם RansomHub. בנוסף, נעשה שימוש בכלים הקשורים בעבר לשותף אחר של נוברוס, Scattered Spider, בהתקפת RansomHub לאחרונה.

ההרחבה המהירה של הפעילות של RansomHub מעידה על כך שהקבוצה עשויה להכיל מפעילים ותיקים עם ניסיון וקשרים במחתרת הסייבר.

התקפות כופר נמצאות שוב במגמת עלייה

פיתוח RansomHub מגיע על רקע עלייה בפעילות תוכנות הכופר בשנת 2023, לאחר ירידה קלה בשנת 2022. מעניין שכשליש מ-50 משפחות תוכנות הכופר החדשות שהתגלו במהלך השנה הן וריאציות של אלה שזוהו בעבר. מגמה זו מעידה על שכיחות גוברת של מיחזור קוד, חפיפות שחקנים ואסטרטגיות מיתוג מחדש.

התקפות אלו בולטות בשימוש שלהן בכלי שולחן עבודה מרוחק זמינים מסחרית ולגיטימיים במקום להסתמך על Cobalt Strike . ההסתמכות הגוברת על כלים לגיטימיים כאלה מעידה ככל הנראה על מאמצי התוקפים להתחמק ממנגנוני זיהוי ולייעל את פעולתם, תוך צמצום הצורך בפיתוח ותחזוקה של כלים מותאמים אישית.

בהודעת הכופר שקורבנות תוכנת הכופר של RansomHub יקבלו נכתב:

'Hello!

Visit our Blog:

Tor Browser Links:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion/

Links for normal browser:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion.ly/

>>> Your data is stolen and encrypted.

- If you don't pay the ransom, the data will be published on our TOR darknet sites. Keep in mind that once your data appears on our leak site, it could be bought by your competitors at any second, so don't hesitate for a long time. The sooner you pay the ransom, the sooner your company will be safe.

>>> If you have an external or cloud backup; what happens if you don’t agree with us?

- All countries have their own PDPL (Personal Data Protection Law) regulations. In the event that you do not agree with us, information pertaining to your companies and the data of your company’s customers will be published on the internet, and the respective country’s personal data usage authority will be informed. Moreover, confidential data related to your company will be shared with potential competitors through email and social media. You can be sure that you will incur damages far exceeding the amount we are requesting from you should you decide not to agree with us.

>>> Don't go to the police or the FBI for help and don't tell anyone that we attacked you.

- Seeking their help will only make the situation worse,They will try to prevent you from negotiating with us, because the negotiations will make them look incompetent,After the incident report is handed over to the government department, you will be fined ,The government uses your fine to reward them.And you will not get anything, and except you and your company, the rest of the people will forget what happened!!!!!

>>> How to contact with us?

- Install and run 'Tor Browser' from hxxps://www.torproject.org/download/
- Go to hxxp://h6tejafqdkdltp****************seslv6djgiukiii573xtid.onion/
- Log in using the Client ID: -

>>> WARNING

DO NOT MODIFY ENCRYPTED FILES YOURSELF.
DO NOT USE THIRD PARTY SOFTWARE TO RESTORE YOUR DATA.
YOU MAY DAMAGE YOUR FILES, IT WILL RESULT IN PERMANENT DATA LOSS.'