RansomHub Ransomware
អ្នកវិភាគសុវត្ថិភាពតាមអ៊ីនធឺណិតបានរកឃើញមេរោគ ransomware ថ្មីមួយដែលមានឈ្មោះថា RansomHub ។ យោងតាមរបាយការណ៍ ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតដែលនៅពីក្រោយវាបានអះអាងថា ពួកគេនឹងមិនកំណត់គោលដៅអង្គភាពនៅក្នុងបណ្តាប្រទេស Commonwealth of Independent States (CIS) ប្រទេសគុយបា កូរ៉េខាងជើង និងចិននោះទេ។ ទោះបីជាមានការប្រកាសនេះក៏ដោយ ពួកគេបាននិងកំពុងឆ្លងយ៉ាងសកម្មដល់អង្គការលេចធ្លោមួយចំនួនក្នុងរយៈពេលដ៏ខ្លី។ ក្នុងចំណោមជនរងគ្រោះរបស់ពួកគេមាន Change Healthcare, Christie's និង Frontier Communications។ គួរកត់សម្គាល់ថាក្រុមអ្នកស្រាវជ្រាវបានគូសបញ្ជាក់ថា RansomHub មានលក្ខណៈស្រដៀងនឹង Knight Ransomware ដែលជាការបញ្ជាក់ឡើងវិញនៃ ransomware ដែលត្រូវបានកំណត់ពីមុនហៅថា Cyclops ។
តារាងមាតិកា
លេខកូដ Knight Ransomware ត្រូវបានផ្តល់ជូនសម្រាប់លក់ទៅឱ្យឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតទាំងអស់។
Knight Ransomware ដែលត្រូវបានគេស្គាល់ថាជា Cyclops 2.0 បានបង្ហាញខ្លួននៅក្នុងខែឧសភា ឆ្នាំ 2023 ដោយប្រើប្រាស់បច្ចេកទេសជំរិតទារពីរដងដើម្បីលួច និងអ៊ិនគ្រីបទិន្នន័យជនរងគ្រោះដើម្បីរកប្រាក់ចំណេញ។ វាមានសមត្ថភាពក្នុងការប្រតិបត្តិការលើវេទិកាផ្សេងៗរួមមាន Windows, Linux, macOS, ESXi និង Android។
លក់នៅលើវេទិកាឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិត RAMP ការវាយប្រហារជាមួយ ransomware នេះច្រើនតែពឹងផ្អែកលើការបន្លំ និងយុទ្ធសាស្ត្របន្លំដោយលំពែង ដោយប្រើឯកសារភ្ជាប់ក្លែងបន្លំសម្រាប់ការចែកចាយ។ ប្រតិបត្តិការ Ransomware-as-a-Service (RaaS) បានបញ្ឈប់នៅចុងខែកុម្ភៈ ឆ្នាំ 2024 ជាមួយនឹងកូដប្រភពរបស់វាត្រូវបានដាក់លក់។ ការផ្លាស់ប្តូរនេះបានលើកឡើងពីលទ្ធភាពនៃការផ្ទេរទៅកាន់តារាសម្តែងថ្មី ដែលប្រហែលជាបានធ្វើបច្ចុប្បន្នភាព និងចាប់ផ្តើមវាឡើងវិញក្រោមឈ្មោះ RansomHub ។
ការត្រួតស៊ីគ្នាយ៉ាងសំខាន់រវាង RansomHub និង Knight Ransomware
មេរោគ ransomware ទាំងពីរត្រូវបានសរសេរនៅក្នុង Go ហើយកំណែភាគច្រើននៃគ្រួសារនីមួយៗត្រូវបានបំភាន់ជាមួយ Gobfuscate ។ មានភាពស្រដៀងគ្នាខ្លាំងរវាងកូដទាំងពីរ ដែលធ្វើឱ្យវាពិបាកក្នុងការបែងចែកពួកវា។
គ្រួសារ ransomware ទាំងពីរចែករំលែកម៉ឺនុយជំនួយដូចគ្នានៅលើចំណុចប្រទាក់បន្ទាត់ពាក្យបញ្ជា។ ទោះយ៉ាងណាក៏ដោយ RansomHub ណែនាំជម្រើស 'គេង' ថ្មី ដែលអនុញ្ញាតឱ្យវានៅអសកម្មសម្រាប់រយៈពេលជាក់លាក់មួយ (គិតជានាទី) មុនពេលប្រតិបត្តិ។ ពាក្យបញ្ជាការគេងស្រដៀងគ្នានេះត្រូវបានគេសង្កេតឃើញនៅក្នុងការគំរាមកំហែងផ្សេងទៀតដូចជា Chaos / Yashma និង Trigona Ransomware ។
ភាពស្រដៀងគ្នារវាង Knight និង RansomHub ពង្រីកដល់បច្ចេកទេស obfuscation ដែលប្រើសម្រាប់ការអ៊ិនកូដខ្សែអក្សរ ខ្លឹមសារនៃតម្លៃលោះដែលបានបន្សល់ទុកបន្ទាប់ពីការអ៊ិនគ្រីបឯកសារ និងសមត្ថភាពរបស់ពួកគេក្នុងការចាប់ផ្ដើមម៉ាស៊ីនឡើងវិញទៅក្នុងរបៀបសុវត្ថិភាព មុនពេលការអ៊ិនគ្រីបចាប់ផ្តើម។
ភាពខុសគ្នាចម្បងស្ថិតនៅក្នុងសំណុំនៃពាក្យបញ្ជាដែលបានប្រតិបត្តិតាមរយៈ cmd.exe ទោះបីជាលំដាប់ និងការប្រតិបត្តិរបស់ពួកគេទាក់ទងទៅនឹងប្រតិបត្តិការផ្សេងទៀតនៅតែដូចគ្នាក៏ដោយ។
RansomHub Ransomware អាចត្រូវបានដំណើរការដោយឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតជើងចាស់
ការវាយប្រហាររបស់ RansomHub ត្រូវបានគេសង្កេតឃើញទាញយកប្រយោជន៍ពីភាពងាយរងគ្រោះសុវត្ថិភាពដែលគេស្គាល់ (ដូចជា ZeroLogon ) ដើម្បីទទួលបានការចូលប្រើដំបូង។ ពួកគេទម្លាក់កម្មវិធីកុំព្យូទ័រពីចម្ងាយដូចជា Atera និង Splashtop មុនពេលដាក់ពង្រាយ ransomware ។ នៅក្នុងខែមេសា ឆ្នាំ 2024 តែមួយ ការវាយប្រហារដែលបានបញ្ជាក់ជិត 30 ត្រូវបានផ្សារភ្ជាប់ទៅនឹងមេរោគ ransomware នេះ។
អ្នកស្រាវជ្រាវសង្ស័យថា RansomHub កំពុងស្វែងរកយ៉ាងសកម្មនូវសាខាដែលរងផលប៉ះពាល់ដោយការបិទ ឬចេញនូវយុទ្ធសាស្ត្រថ្មីៗ ដូចជា LockBit និង BlackCat (ត្រូវបានគេស្គាល់ផងដែរថាជា ALPHV និង Noberus)។ វាត្រូវបានគេជឿថាអតីតសាខា Noberus ហៅថា Notchy ឥឡូវនេះប្រហែលជាកំពុងសហការជាមួយ RansomHub ។ លើសពីនេះ ឧបករណ៍ដែលពីមុនត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងសាខា Noberus មួយផ្សេងទៀតគឺ Scattered Spider ត្រូវបានគេប្រើនៅក្នុងការវាយប្រហាររបស់ RansomHub នាពេលថ្មីៗនេះ។
ការពង្រីកយ៉ាងរហ័សនៃប្រតិបត្តិការរបស់ RansomHub បង្ហាញថាក្រុមនេះអាចមានប្រតិបត្តិករតាមរដូវកាលដែលមានបទពិសោធន៍ និងការតភ្ជាប់នៅក្នុងអ៊ីនធឺណេតក្រោមដី។
ការវាយប្រហាររបស់ Ransomware កំពុងតែកើនឡើងម្តងទៀត
ការអភិវឌ្ឍន៍ RansomHub កើតឡើងចំពេលមានការកើនឡើងនៃសកម្មភាព ransomware ក្នុងឆ្នាំ 2023 បន្ទាប់ពីមានការថយចុះបន្តិចក្នុងឆ្នាំ 2022។ គួរឱ្យចាប់អារម្មណ៍ប្រហែលមួយភាគបីនៃគ្រួសារ ransomware ថ្មីចំនួន 50 ដែលបានរកឃើញក្នុងកំឡុងឆ្នាំគឺជាការប្រែប្រួលនៃប្រភេទដែលបានកំណត់ពីមុន។ និន្នាការនេះបង្ហាញពីអត្រាប្រេវ៉ាឡង់ដែលកំពុងកើនឡើងនៃការកែឆ្នៃកូដ ការត្រួតលើគ្នា និងយុទ្ធសាស្ត្រដាក់ស្លាកយីហោឡើងវិញ។
ការវាយប្រហារទាំងនេះគឺគួរឱ្យកត់សម្គាល់សម្រាប់ការប្រើប្រាស់របស់ពួកគេនូវឧបករណ៍ផ្ទៃតុពីចម្ងាយដែលមានលក្ខណៈពាណិជ្ជកម្ម និងស្របច្បាប់ជាជាងការពឹងផ្អែកលើ Cobalt Strike ។ ការពឹងផ្អែកកាន់តែខ្លាំងឡើងលើឧបករណ៍ស្របច្បាប់បែបនេះ ទំនងជាបង្ហាញពីកិច្ចខិតខំប្រឹងប្រែងរបស់អ្នកវាយប្រហារដើម្បីគេចចេញពីយន្តការរាវរក និងសម្រួលប្រតិបត្តិការរបស់ពួកគេ ដោយកាត់បន្ថយតម្រូវការក្នុងការអភិវឌ្ឍន៍ និងថែរក្សាឧបករណ៍ផ្ទាល់ខ្លួន។
ចំណាំតម្លៃលោះដែលជនរងគ្រោះនៃ RansomHub Ransomware នឹងទទួលបានអាន៖
'Hello!
Visit our Blog:
Tor Browser Links:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion/Links for normal browser:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion.ly/>>> Your data is stolen and encrypted.
- If you don't pay the ransom, the data will be published on our TOR darknet sites. Keep in mind that once your data appears on our leak site, it could be bought by your competitors at any second, so don't hesitate for a long time. The sooner you pay the ransom, the sooner your company will be safe.
>>> If you have an external or cloud backup; what happens if you don’t agree with us?- All countries have their own PDPL (Personal Data Protection Law) regulations. In the event that you do not agree with us, information pertaining to your companies and the data of your company’s customers will be published on the internet, and the respective country’s personal data usage authority will be informed. Moreover, confidential data related to your company will be shared with potential competitors through email and social media. You can be sure that you will incur damages far exceeding the amount we are requesting from you should you decide not to agree with us.
>>> Don't go to the police or the FBI for help and don't tell anyone that we attacked you.- Seeking their help will only make the situation worse,They will try to prevent you from negotiating with us, because the negotiations will make them look incompetent,After the incident report is handed over to the government department, you will be fined ,The government uses your fine to reward them.And you will not get anything, and except you and your company, the rest of the people will forget what happened!!!!!
>>> How to contact with us?- Install and run 'Tor Browser' from hxxps://www.torproject.org/download/
- Go to hxxp://h6tejafqdkdltp****************seslv6djgiukiii573xtid.onion/
- Log in using the Client ID: -
>>> WARNINGDO NOT MODIFY ENCRYPTED FILES YOURSELF.
DO NOT USE THIRD PARTY SOFTWARE TO RESTORE YOUR DATA.
YOU MAY DAMAGE YOUR FILES, IT WILL RESULT IN PERMANENT DATA LOSS.'
