RansomHub Ransomware
A kiberbiztonsági elemzők egy új RansomHub nevű ransomware törzset fedeztek fel. A jelentések szerint a mögötte álló kiberbűnözők azt állítják, hogy nem veszik célba a Független Államok Közössége (FÁK) országaiban, Kubában, Észak-Koreában és Kínában működő entitásokat. E nyilatkozat ellenére rövid időn belül aktívan megfertőztek több prominens szervezetet. Áldozataik között van a Change Healthcare, a Christie's és a Frontier Communications. A kutatók kiemelik, hogy a RansomHub jelentős hasonlóságot mutat a Knight Ransomware-rel , amely a korábban azonosított Cyclops nevű zsarolóprogram iterációja.
Tartalomjegyzék
A Knight Ransomware kódot minden kiberbűnözőnek eladásra kínálták
A Knight Ransomware, más néven Cyclops 2.0, 2023 májusában jelent meg, kettős zsarolási technikákat alkalmazva az áldozatok adatainak eltulajdonítására és titkosítására haszonszerzés céljából. Különféle platformokon képes működni, beleértve a Windows, Linux, macOS, ESXi és Android rendszereket.
A RAMP kiberbűnözés fórumán értékesített támadások ezzel a zsarolóprogrammal gyakran adathalász és lándzsás adathalász taktikán alapultak, és csalárd mellékleteket használtak a terjesztéshez. A Ransomware-as-a-Service (RaaS) működése 2024 februárjának végén leállt, és a forráskódja eladásra került. Ez a lépés felvetette az átigazolás lehetőségét egy új szereplőhöz, aki esetleg RansomHub néven frissítette és újraindította.
Jelentős átfedések a RansomHub és a Knight Ransomware között
Mindkét ransomware-törzs Go-ban van írva, és az egyes családok legtöbb verziója el van homályosítva a Gobfuscate-tel. Jelentős fokú kód hasonlóság van a kettő között, ezért nehéz megkülönböztetni őket.
Mindkét ransomware család azonos súgómenüt osztozik a parancssori felületen. A RansomHub azonban bevezet egy új „alvó” opciót, amely lehetővé teszi, hogy egy meghatározott ideig (percekben) inaktív maradjon a végrehajtás előtt. Hasonló alvási parancsokat figyeltek meg más fenyegetéseknél is, mint például a Chaos / Yashma és a Trigona Ransomware.
A Knight és a RansomHub közötti hasonlóságok kiterjednek a karakterláncok kódolására használt homályosítási technikákra, a fájlok titkosítása után visszamaradt váltságdíj-jegyzetek tartalmára, valamint arra, hogy képesek a gazdagépet biztonságos módba újraindítani a titkosítás megkezdése előtt.
Az elsődleges különbség a cmd.exe-n keresztül végrehajtott parancsok halmazában rejlik, bár sorrendjük és végrehajtásuk a többi művelethez képest változatlan marad.
A RansomHub Ransomware-t veterán kiberbűnözők üzemeltethetik
Megfigyelték, hogy a RansomHub támadások az ismert biztonsági réseket (például a ZeroLogont ) használják ki a kezdeti hozzáférés megszerzésére. Eldobják a távoli asztali szoftvereket, például az Aterát és a Splashtopot, mielőtt telepítenék a zsarolóvírust. Csak 2024 áprilisában közel 30 megerősített támadást kapcsoltak ehhez a ransomware-törzshez.
A kutatók azt gyanítják, hogy a RansomHub aktívan keresi a közelmúltbeli leállások vagy kilépési taktikák által érintett leányvállalatokat, mint például a LockBit és a BlackCat (más néven ALPHV és Noberus). Úgy gondolják, hogy a Noberus egykori leányvállalata, a Notchy most együttműködhet a RansomHubbal. Ezenkívül a Noberus másik leányvállalatához, a Scattered Spiderhez korábban társított eszközöket használtak egy nemrégiben végrehajtott RansomHub-támadás során.
A RansomHub tevékenységének gyors bővülése azt sugallja, hogy a csoport olyan tapasztalt operátorokból állhat, akik tapasztalattal és kapcsolatokkal rendelkeznek a kiberföldalatti területen.
A zsarolóvírus-támadások ismét emelkedésben vannak
A RansomHub fejlesztése a 2022-es enyhe csökkenést követően 2023-ban a zsarolóprogramok aktivitásának növekedése közepette. Érdekes módon az év során felfedezett 50 új zsarolóprogram-család körülbelül egyharmada a korábban azonosítottak változata. Ez a tendencia a kód-újrahasznosítás, a szereplők közötti átfedések és a márkaváltási stratégiák növekvő elterjedésére utal.
Ezek a támadások a kereskedelmi forgalomban kapható és legális távoli asztali eszközök használatáról nevezetesek, nem pedig a Cobalt Strike -ra támaszkodva. Az ilyen legitim eszközökre való növekvő támaszkodás valószínűleg azt jelzi, hogy a támadók igyekeznek kikerülni az észlelési mechanizmusokat és egyszerűsíteni a műveleteket, csökkentve ezzel az egyéni eszközök fejlesztésének és karbantartásának szükségességét.
A váltságdíjat, amelyet a RansomHub Ransomware áldozatai kapnak, a következő olvasható:
'Hello!
Visit our Blog:
Tor Browser Links:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion/Links for normal browser:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion.ly/>>> Your data is stolen and encrypted.
- If you don't pay the ransom, the data will be published on our TOR darknet sites. Keep in mind that once your data appears on our leak site, it could be bought by your competitors at any second, so don't hesitate for a long time. The sooner you pay the ransom, the sooner your company will be safe.
>>> If you have an external or cloud backup; what happens if you don’t agree with us?- All countries have their own PDPL (Personal Data Protection Law) regulations. In the event that you do not agree with us, information pertaining to your companies and the data of your company’s customers will be published on the internet, and the respective country’s personal data usage authority will be informed. Moreover, confidential data related to your company will be shared with potential competitors through email and social media. You can be sure that you will incur damages far exceeding the amount we are requesting from you should you decide not to agree with us.
>>> Don't go to the police or the FBI for help and don't tell anyone that we attacked you.- Seeking their help will only make the situation worse,They will try to prevent you from negotiating with us, because the negotiations will make them look incompetent,After the incident report is handed over to the government department, you will be fined ,The government uses your fine to reward them.And you will not get anything, and except you and your company, the rest of the people will forget what happened!!!!!
>>> How to contact with us?- Install and run 'Tor Browser' from hxxps://www.torproject.org/download/
- Go to hxxp://h6tejafqdkdltp****************seslv6djgiukiii573xtid.onion/
- Log in using the Client ID: -
>>> WARNINGDO NOT MODIFY ENCRYPTED FILES YOURSELF.
DO NOT USE THIRD PARTY SOFTWARE TO RESTORE YOUR DATA.
YOU MAY DAMAGE YOUR FILES, IT WILL RESULT IN PERMANENT DATA LOSS.'
