Multi-License Discount Quote
위협 데이터베이스 Ransomware RansomHub 랜섬웨어

RansomHub 랜섬웨어

Ransomware년에 Mezo 년까지
번역 :
한국어

사이버 보안 분석가들이 RansomHub라는 새로운 랜섬웨어 변종을 발견했습니다. 보고서에 따르면, 이 공격의 배후에 있는 사이버 범죄자들은 독립 국가 연합(CIS) 국가, 쿠바, 북한, 중국의 조직을 표적으로 삼지 않을 것이라고 주장합니다. 이러한 선언에도 불구하고 그들은 짧은 기간 내에 여러 유명 조직을 적극적으로 감염시켜 왔습니다. 피해자 중에는 Change Healthcare, Christie's 및 Frontier Communications가 있습니다. 특히 연구원들은 RansomHub가 이전에 확인된 Cyclops 랜섬웨어의 반복인 Knight Ransomware 와 상당히 유사하다는 점을 강조했습니다.

Knight 랜섬웨어 코드는 모든 사이버범죄자에게 판매되도록 제안되었습니다

Cyclops 2.0으로도 알려진 Knight 랜섬웨어는 2023년 5월에 등장했습니다. 이 랜섬웨어는 이중 갈취 기술을 활용하여 피해자의 데이터를 훔치고 암호화하여 이익을 얻었습니다. Windows, Linux, macOS, ESXi 및 Android를 포함한 다양한 플랫폼에서 작동할 수 있습니다.

RAMP 사이버 범죄 포럼에서 판매되는 이 랜섬웨어를 사용한 공격은 사기성 첨부 파일을 사용하여 배포하는 피싱 및 스피어 피싱 전술에 의존하는 경우가 많습니다. RaaS(Ransomware-as-a-Service) 작업은 소스 코드가 판매되면서 2024년 2월 말에 중단되었습니다. 이 움직임은 RansomHub라는 이름으로 이를 업데이트하고 다시 출시했을 수 있는 새로운 행위자로 이전될 가능성을 높였습니다.

RansomHub와 Knight 랜섬웨어 사이의 상당한 중복

두 랜섬웨어 변종 모두 Go로 작성되었으며 각 제품군의 대부분 버전은 Gobfuscate로 난독화되었습니다. 둘 사이에는 상당한 수준의 코드 유사성이 있어 구별하기가 어렵습니다.

두 랜섬웨어 제품군 모두 명령줄 인터페이스에서 동일한 도움말 메뉴를 공유합니다. 그러나 RansomHub에는 새로운 'sleep' 옵션이 도입되어 실행 전 지정된 기간(분) 동안 비활성 상태를 유지할 수 있습니다. Chaos / YashmaTrigona 랜섬웨어와 같은 다른 위협에서도 유사한 절전 명령이 관찰되었습니다.

Knight와 RansomHub의 유사점은 문자열 인코딩에 사용되는 난독화 기술, 파일 암호화 후 남겨진 몸값 메모 내용, 암호화가 시작되기 전에 호스트를 안전 모드로 재부팅하는 기능까지 확장됩니다.

주요 차이점은 cmd.exe를 통해 실행되는 명령 세트에 있지만 다른 작업과 관련된 순서와 실행은 동일하게 유지됩니다.

RansomHub 랜섬웨어는 베테랑 사이버 범죄자가 운영할 수 있습니다.

RansomHub 공격은 초기 액세스 권한을 얻기 위해 알려진 보안 취약점(예: ZeroLogon )을 악용하는 것으로 관찰되었습니다. 랜섬웨어를 배포하기 전에 Atera 및 Splashtop과 같은 원격 데스크톱 소프트웨어를 삭제합니다. 2024년 4월에만 거의 30건의 확인된 공격이 이 랜섬웨어 변종과 연관되어 있습니다.

연구원들은 RansomHub가 LockBitBlackCat (ALPHV 및 Noberus라고도 함)과 같은 최근 폐쇄 또는 퇴출 전술의 영향을 받은 계열사를 적극적으로 찾고 있다고 의심합니다. Notchy라는 이전 Noberus 계열사가 이제 RansomHub와 협력하고 있을 수도 있다고 믿어집니다. 또한 이전에 다른 Noberus 계열사인 Scattered Spider와 관련된 도구가 최근 RansomHub 공격에 사용되었습니다.

RansomHub의 운영이 빠르게 확장되는 것은 이 그룹이 사이버 언더그라운드에서 경험과 인맥을 갖춘 노련한 운영자로 구성될 수 있음을 시사합니다.

랜섬웨어 공격이 다시 증가하고 있습니다

RansomHub 개발은 2022년에 약간 감소한 후 2023년에 랜섬웨어 활동이 증가하는 가운데 이루어졌습니다. 흥미롭게도 한 해 동안 발견된 새로운 랜섬웨어 패밀리 50개 중 약 3분의 1은 이전에 식별된 랜섬웨어의 변형이었습니다. 이러한 추세는 코드 재활용, 행위자 중복 및 브랜드 변경 전략의 확산이 증가하고 있음을 시사합니다.

이러한 공격은 Cobalt Strike 에 의존하지 않고 상업적으로 이용 가능하고 합법적인 원격 데스크탑 도구를 사용한다는 점에서 주목할 만합니다. 이러한 합법적인 도구에 대한 의존도가 높아지는 것은 공격자가 탐지 메커니즘을 회피하고 작업을 간소화하여 사용자 지정 도구를 개발하고 유지 관리할 필요성을 줄이려는 노력을 의미할 가능성이 높습니다.

RansomHub 랜섬웨어 피해자가 받게 될 몸값 메모는 다음과 같습니다.

'Hello!

Visit our Blog:

Tor Browser Links:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion/

Links for normal browser:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion.ly/

>>> Your data is stolen and encrypted.

- If you don't pay the ransom, the data will be published on our TOR darknet sites. Keep in mind that once your data appears on our leak site, it could be bought by your competitors at any second, so don't hesitate for a long time. The sooner you pay the ransom, the sooner your company will be safe.


>>> If you have an external or cloud backup; what happens if you don’t agree with us?

- All countries have their own PDPL (Personal Data Protection Law) regulations. In the event that you do not agree with us, information pertaining to your companies and the data of your company’s customers will be published on the internet, and the respective country’s personal data usage authority will be informed. Moreover, confidential data related to your company will be shared with potential competitors through email and social media. You can be sure that you will incur damages far exceeding the amount we are requesting from you should you decide not to agree with us.


>>> Don't go to the police or the FBI for help and don't tell anyone that we attacked you.

- Seeking their help will only make the situation worse,They will try to prevent you from negotiating with us, because the negotiations will make them look incompetent,After the incident report is handed over to the government department, you will be fined ,The government uses your fine to reward them.And you will not get anything, and except you and your company, the rest of the people will forget what happened!!!!!


>>> How to contact with us?

- Install and run 'Tor Browser' from hxxps://www.torproject.org/download/
- Go to hxxp://h6tejafqdkdltp****************seslv6djgiukiii573xtid.onion/
- Log in using the Client ID: -


>>> WARNING

DO NOT MODIFY ENCRYPTED FILES YOURSELF.
DO NOT USE THIRD PARTY SOFTWARE TO RESTORE YOUR DATA.
YOU MAY DAMAGE YOUR FILES, IT WILL RESULT IN PERMANENT DATA LOSS.'

트렌드

메가가드

잠재적으로 원하지 않는 프로그램, Adware
MegaGuard는 유용한 브라우저 확장 프로그램으로 위장한 애드웨어입니다. 의심스러운 웹 사이트에 대한 액세스를 차단하도록 설계된 보안 도구로 판매됩니다. 그러나 애드웨어는 정의상 광고를 지원하는 소프트웨어이며, 그 주요 목적은 침입형 광고를 통해 개발자나 게시자를 위한 수익을 창출하는 것입니다. 또한 MegaGuard는 사용자의 탐색 활동도...

Guardian Angel Extension

잠재적으로 원하지 않는 프로그램, Adware, Browser Hijackers
Guardian Angel은 본질적으로 브라우저 하이재커 역할을 하는 침입 기능을 갖춘 브라우저 확장 프로그램입니다. 설치되면 사용자가 탐색하는 웹사이트에 광고를 삽입하고 브라우저 검색어를 변경하여 홍보된 주소로 연결합니다. 또한 Guardian Angel은 합법적인 '조직에서 관리' 브라우저 기능을 활용하므로 사용자가 확장 프로그램을 쉽게 제거하기가...

가장 많이 본

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

Issue
83,504
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

Issue
65,521
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
로드 중...