RansomHub ransomware

Gli analisti della sicurezza informatica hanno scoperto un nuovo ceppo di ransomware chiamato RansomHub. Secondo i rapporti, i criminali informatici dietro di esso affermano che non prenderanno di mira entità nei paesi della Comunità degli Stati Indipendenti (CSI), Cuba, Corea del Nord e Cina. Nonostante questa dichiarazione, hanno infettato attivamente diverse organizzazioni importanti in un breve arco di tempo. Tra le loro vittime ci sono Change Healthcare, Christie's e Frontier Communications. In particolare, i ricercatori sottolineano che RansomHub ha una significativa somiglianza con Knight Ransomware , che è un'iterazione del ransomware precedentemente identificato chiamato Cyclops .

Il codice Knight Ransomware è stato offerto in vendita a tutti i criminali informatici

Il Knight Ransomware, noto anche come Cyclops 2.0, è emerso nel maggio 2023, utilizzando tecniche di doppia estorsione per rubare e crittografare i dati delle vittime a scopo di lucro. È in grado di funzionare su varie piattaforme, tra cui Windows, Linux, macOS, ESXi e Android.

Venduto sul forum RAMP sulla criminalità informatica, gli attacchi con questo ransomware si basavano spesso su tattiche di phishing e spear-phishing, utilizzando allegati fraudolenti per la distribuzione. L'operazione Ransomware-as-a-Service (RaaS) è cessata alla fine di febbraio 2024, con il suo codice sorgente messo in vendita. Questa mossa ha aperto la possibilità di un trasferimento a un nuovo attore, che potrebbe averlo aggiornato e rilanciato con il nome RansomHub.

Sovrapposizioni significative tra RansomHub e Knight Ransomware

Entrambi i ceppi di ransomware sono scritti in Go e la maggior parte delle versioni di ciascuna famiglia sono offuscate da Gobfuscate. Esiste un significativo grado di somiglianza del codice tra i due, il che rende difficile distinguerli.

Entrambe le famiglie di ransomware condividono menu di aiuto identici sull'interfaccia della riga di comando. Tuttavia, RansomHub introduce una nuova opzione di "sospensione", che gli consente di rimanere inattivo per un periodo specificato (in minuti) prima dell'esecuzione. Comandi di sospensione simili sono stati osservati in altre minacce come Chaos / Yashma e Trigona Ransomware.

Le somiglianze tra Knight e RansomHub si estendono alle tecniche di offuscamento utilizzate per codificare le stringhe, al contenuto delle richieste di riscatto lasciate dopo aver crittografato i file e alla loro capacità di riavviare un host in modalità provvisoria prima che inizi la crittografia.

La differenza principale risiede nell'insieme dei comandi eseguiti tramite cmd.exe, anche se la loro sequenza ed esecuzione rispetto alle altre operazioni rimane la stessa.

Il ransomware RansomHub può essere gestito da criminali informatici veterani

Sono stati osservati attacchi RansomHub che sfruttano vulnerabilità di sicurezza note (come ZeroLogon ) per ottenere l'accesso iniziale. Rilasciano software desktop remoto come Atera e Splashtop prima di distribuire il ransomware. Solo nel mese di aprile 2024, quasi 30 attacchi confermati sono stati collegati a questo ceppo di ransomware.

I ricercatori sospettano che RansomHub stia cercando attivamente affiliati colpiti dalle recenti chiusure o tattiche di uscita, come quelle di LockBit e BlackCat (noti anche come ALPHV e Noberus). Si ritiene che un ex affiliato di Noberus chiamato Notchy potrebbe ora collaborare con RansomHub. Inoltre, in un recente attacco RansomHub sono stati utilizzati strumenti precedentemente associati a un altro affiliato di Noberus, Scattered Spider.

La rapida espansione delle operazioni di RansomHub suggerisce che il gruppo potrebbe comprendere operatori esperti con esperienza e collegamenti nel cyber underground.

Gli attacchi ransomware sono di nuovo in aumento

Lo sviluppo di RansomHub avviene nel contesto di un aumento dell’attività ransomware nel 2023, dopo un leggero calo nel 2022. È interessante notare che circa un terzo delle 50 nuove famiglie di ransomware scoperte durante l’anno sono variazioni di quelle precedentemente identificate. Questa tendenza suggerisce una crescente prevalenza del riciclo del codice, delle sovrapposizioni degli attori e delle strategie di rebranding.

Questi attacchi si distinguono per l'utilizzo di strumenti desktop remoti disponibili in commercio e legittimi anziché per l'utilizzo di Cobalt Strike . La crescente dipendenza da tali strumenti legittimi probabilmente indica gli sforzi degli aggressori per eludere i meccanismi di rilevamento e semplificare le proprie operazioni, riducendo la necessità di sviluppare e mantenere strumenti personalizzati.

La richiesta di riscatto che riceveranno le vittime del RansomHub Ransomware recita:

'Hello!

Visit our Blog:

Tor Browser Links:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion/

Links for normal browser:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion.ly/

>>> Your data is stolen and encrypted.

- If you don't pay the ransom, the data will be published on our TOR darknet sites. Keep in mind that once your data appears on our leak site, it could be bought by your competitors at any second, so don't hesitate for a long time. The sooner you pay the ransom, the sooner your company will be safe.

>>> If you have an external or cloud backup; what happens if you don’t agree with us?

- All countries have their own PDPL (Personal Data Protection Law) regulations. In the event that you do not agree with us, information pertaining to your companies and the data of your company’s customers will be published on the internet, and the respective country’s personal data usage authority will be informed. Moreover, confidential data related to your company will be shared with potential competitors through email and social media. You can be sure that you will incur damages far exceeding the amount we are requesting from you should you decide not to agree with us.

>>> Don't go to the police or the FBI for help and don't tell anyone that we attacked you.

- Seeking their help will only make the situation worse,They will try to prevent you from negotiating with us, because the negotiations will make them look incompetent,After the incident report is handed over to the government department, you will be fined ,The government uses your fine to reward them.And you will not get anything, and except you and your company, the rest of the people will forget what happened!!!!!

>>> How to contact with us?

- Install and run 'Tor Browser' from hxxps://www.torproject.org/download/
- Go to hxxp://h6tejafqdkdltp****************seslv6djgiukiii573xtid.onion/
- Log in using the Client ID: -

>>> WARNING

DO NOT MODIFY ENCRYPTED FILES YOURSELF.
DO NOT USE THIRD PARTY SOFTWARE TO RESTORE YOUR DATA.
YOU MAY DAMAGE YOUR FILES, IT WILL RESULT IN PERMANENT DATA LOSS.'