RansomHub Ransomware
Analitičari kibernetičke sigurnosti otkrili su novu vrstu ransomwarea pod nazivom RansomHub. Prema izvješćima, kibernetički kriminalci koji stoje iza njega tvrde da neće ciljati entitete u zemljama Zajednice Neovisnih Država (CIS), Kubi, Sjevernoj Koreji i Kini. Unatoč ovoj izjavi, aktivno su zarazili nekoliko istaknutih organizacija unutar kratkog razdoblja. Među njihovim žrtvama su Change Healthcare, Christie's i Frontier Communications. Naime, istraživači ističu da RansomHub ima značajnu sličnost s Knight Ransomwareom , koji je iteracija prethodno identificiranog ransomwarea pod nazivom Cyclops .
Sadržaj
Knight Ransomware Code ponuđen je na prodaju svim kibernetičkim kriminalcima
Knight Ransomware, također poznat kao Cyclops 2.0, pojavio se u svibnju 2023., koristeći tehnike dvostrukog iznuđivanja za krađu i šifriranje podataka žrtava radi zarade. Sposoban je raditi na raznim platformama, uključujući Windows, Linux, macOS, ESXi i Android.
Prodani na forumu o kibernetičkom kriminalu RAMP, napadi ovim ransomwareom često su se oslanjali na taktike krađe identiteta i krađe identiteta, koristeći lažne privitke za distribuciju. Operacija Ransomware-as-a-Service (RaaS) prestala je krajem veljače 2024., a njegov izvorni kod stavljen je na prodaju. Ovaj potez povećao je mogućnost prijenosa na novog aktera, koji ga je možda ažurirao i ponovno pokrenuo pod imenom RansomHub.
Značajna preklapanja između RansomHuba i Knight Ransomwarea
Oba soja ransomwarea napisana su u Go, a većina verzija svake obitelji prikrivena je Gobfuscateom. Postoji značajan stupanj sličnosti koda između njih dvoje, zbog čega ih je teško razlikovati.
Obje obitelji ransomwarea dijele identične izbornike pomoći na sučelju naredbenog retka. Međutim, RansomHub uvodi novu opciju 'mirovanja', dopuštajući mu da ostane neaktivan određeno razdoblje (u minutama) prije izvršenja. Slične naredbe za spavanje primijećene su u drugim prijetnjama kao što su Chaos / Yashma i Trigona Ransomware.
Sličnosti između Knighta i RansomHuba proširuju se na tehnike zamagljivanja koje se koriste za kodiranje nizova, sadržaj bilješki o otkupnini koje ostaju nakon šifriranja datoteka i njihovu sposobnost ponovnog pokretanja računala u sigurnom načinu rada prije početka enkripcije.
Primarna razlika leži u skupu naredbi koje se izvode putem cmd.exe, iako njihov redoslijed i izvođenje u odnosu na druge operacije ostaju isti.
RansomHub Ransomwareom mogu upravljati kibernetički kriminalci veterani
Primijećeni su napadi RansomHub koji iskorištavaju poznate sigurnosne propuste (kao što je ZeroLogon ) za dobivanje početnog pristupa. Odbacuju softver za udaljenu radnu površinu kao što su Atera i Splashtop prije postavljanja ransomwarea. Samo u travnju 2024. gotovo 30 potvrđenih napada povezano je s ovom vrstom ransomwarea.
Istraživači sumnjaju da RansomHub aktivno traži podružnice pogođene nedavnim gašenjima ili taktikama izlaza, poput onih LockBita i BlackCata (također poznatih kao ALPHV i Noberus). Vjeruje se da bivša podružnica Noberusa pod imenom Notchy sada možda surađuje s RansomHubom. Osim toga, alati prethodno povezani s drugom Noberusovom podružnicom, Scattered Spider, korišteni su u nedavnom napadu na RansomHub.
Brzo širenje operacija RansomHuba sugerira da se grupa može sastojati od iskusnih operatera s iskustvom i vezama u cyber podzemlju.
Ransomware napadi ponovno su u porastu
Razvoj RansomHuba dolazi usred porasta aktivnosti ransomwarea u 2023., nakon blagog pada u 2022. Zanimljivo je da je oko trećina od 50 novih obitelji ransomwarea otkrivenih tijekom godine varijacije prethodno identificiranih. Ovaj trend ukazuje na rastuću prevalenciju recikliranja koda, preklapanja aktera i strategija rebrandinga.
Ovi su napadi poznati po korištenju komercijalno dostupnih i legitimnih alata za udaljenu radnu površinu umjesto oslanjanja na Cobalt Strike . Sve veće oslanjanje na takve legitimne alate vjerojatno ukazuje na nastojanja napadača da izbjegnu mehanizme otkrivanja i usmjere svoje operacije, smanjujući potrebu za razvojem i održavanjem prilagođenih alata.
Obavijest o otkupnini koju će dobiti žrtve RansomHub Ransomwarea glasi:
'Hello!
Visit our Blog:
Tor Browser Links:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion/Links for normal browser:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion.ly/>>> Your data is stolen and encrypted.
- If you don't pay the ransom, the data will be published on our TOR darknet sites. Keep in mind that once your data appears on our leak site, it could be bought by your competitors at any second, so don't hesitate for a long time. The sooner you pay the ransom, the sooner your company will be safe.
>>> If you have an external or cloud backup; what happens if you don’t agree with us?- All countries have their own PDPL (Personal Data Protection Law) regulations. In the event that you do not agree with us, information pertaining to your companies and the data of your company’s customers will be published on the internet, and the respective country’s personal data usage authority will be informed. Moreover, confidential data related to your company will be shared with potential competitors through email and social media. You can be sure that you will incur damages far exceeding the amount we are requesting from you should you decide not to agree with us.
>>> Don't go to the police or the FBI for help and don't tell anyone that we attacked you.- Seeking their help will only make the situation worse,They will try to prevent you from negotiating with us, because the negotiations will make them look incompetent,After the incident report is handed over to the government department, you will be fined ,The government uses your fine to reward them.And you will not get anything, and except you and your company, the rest of the people will forget what happened!!!!!
>>> How to contact with us?- Install and run 'Tor Browser' from hxxps://www.torproject.org/download/
- Go to hxxp://h6tejafqdkdltp****************seslv6djgiukiii573xtid.onion/
- Log in using the Client ID: -
>>> WARNINGDO NOT MODIFY ENCRYPTED FILES YOURSELF.
DO NOT USE THIRD PARTY SOFTWARE TO RESTORE YOUR DATA.
YOU MAY DAMAGE YOUR FILES, IT WILL RESULT IN PERMANENT DATA LOSS.'
