Multi-License Discount Quote
Grėsmių duomenų bazė Ransomware RansomHub Ransomware

RansomHub Ransomware

Autorius Mezo, Ransomware
Versti į:
Lietuvių

Kibernetinio saugumo analitikai atskleidė naują išpirkos reikalaujančią programinę įrangą, pavadintą RansomHub. Remiantis pranešimais, kibernetiniai nusikaltėliai tvirtina, kad nesitaikys į subjektus Nepriklausomų valstybių sandraugos (NVS) šalyse, Kuboje, Šiaurės Korėjoje ir Kinijoje. Nepaisant šio pareiškimo, jie per trumpą laiką aktyviai užkrėtė kelias iškilias organizacijas. Tarp jų aukų yra „Change Healthcare“, „Christie's“ ir „Frontier Communications“. Pažymėtina, kad mokslininkai pabrėžia, kad „RansomHub“ yra labai panašus į „Knight Ransomware“ , kuris yra anksčiau nustatytos išpirkos reikalaujančios programos, vadinamos Cyclops , kartojimas.

„Knight Ransomware“ kodas buvo pasiūlytas parduoti visiems kibernetiniams nusikaltėliams

„Knight Ransomware“, taip pat žinomas kaip „Cyclops 2.0“, pasirodė 2023 m. gegužės mėn., naudojant dvigubo turto prievartavimo metodus, siekiant pavogti ir užšifruoti aukų duomenis. Jis gali veikti įvairiose platformose, įskaitant Windows, Linux, macOS, ESXi ir Android.

Parduodama RAMP kibernetinių nusikaltimų forume. Šios išpirkos reikalaujančios programinės įrangos atakos dažnai buvo grindžiamos sukčiavimo ir sukčiavimo gudrybėmis taktika, platinimui naudojant nesąžiningus priedus. „Ransomware-as-a-Service“ (RaaS) veikla buvo nutraukta 2024 m. vasario mėn. pabaigoje, o jos šaltinio kodas buvo pateiktas parduoti. Šis žingsnis iškėlė galimybę perkelti naują veikėją, kuris galėjo jį atnaujinti ir iš naujo paleisti RansomHub pavadinimu.

Reikšmingi RansomHub ir Knight Ransomware sutapimai

Abi išpirkos reikalaujančios programos yra parašytos Go, o dauguma kiekvienos šeimos versijų yra užtemdytos Gobfuscate. Tarp šių dviejų kodų yra didelis panašumas, todėl sunku juos atskirti.

Abi ransomware šeimos turi identiškus pagalbos meniu komandų eilutės sąsajoje. Tačiau „RansomHub“ pristato naują „miego“ parinktį, leidžiančią tam tikrą laikotarpį (minutėmis) likti neaktyviam prieš paleidžiant. Panašios miego komandos buvo pastebėtos kitose grėsmėse, tokiose kaip Chaosas / Yashma ir Trigona Ransomware.

„Knight“ ir „RansomHub“ panašumai apima užmaskavimo metodus, naudojamus koduojant eilutes, išpirkos užrašų, likusių po failų šifravimo, turinį ir jų galimybę iš naujo paleisti pagrindinį kompiuterį į saugųjį režimą prieš pradedant šifravimą.

Pagrindinis skirtumas yra komandų, vykdomų naudojant cmd.exe, rinkinys, nors jų seka ir vykdymas, palyginti su kitomis operacijomis, išlieka tokie patys.

„RansomHub Ransomware“ gali valdyti kibernetinių nusikaltėlių veteranai

Pastebėta, kad „RansomHub“ atakos išnaudoja žinomus saugumo spragas (pvz., „ZeroLogon“ ), kad gautų pradinę prieigą. Prieš įdiegdami išpirkos reikalaujančią programinę įrangą, jie atsisako nuotolinio darbalaukio programinės įrangos, pvz., „Atera“ ir „Splashtop“. Vien 2024 m. balandį beveik 30 patvirtintų atakų buvo susietos su šia išpirkos reikalaujančia programine įranga.

Tyrėjai įtaria, kad „RansomHub“ aktyviai ieško filialų, paveiktų neseniai išjungtų ar pasitraukimo taktikos, pavyzdžiui, „LockBit“ ir „BlackCat“ (taip pat žinomų kaip ALPHV ir Noberus). Manoma, kad buvęs Noberus filialas, vadinamas Notchy, dabar gali bendradarbiauti su RansomHub. Be to, neseniai surengtos RansomHub atakos metu buvo naudojami įrankiai, kurie anksčiau buvo susiję su kitu „Noberus“ filialu „Scattered Spider“.

Sparti RansomHub veiklos plėtra rodo, kad grupę gali sudaryti patyrę operatoriai, turintys patirties ir ryšių kibernetinėje pogrindyje.

Ransomware atakų vėl daugėja

RansomHub plėtra vyksta 2023 m. didėjant išpirkos reikalaujančių programų aktyvumui, o 2022 m. šiek tiek sumažėjo. Įdomu tai, kad maždaug trečdalis iš 50 naujų išpirkos reikalaujančių programų šeimų, aptiktų per metus, yra anksčiau nustatytų variantai. Ši tendencija rodo, kad didėja kodo perdirbimo, veikėjų sutapimų ir prekės ženklo keitimo strategijų paplitimas.

Šios atakos išsiskiria tuo, kad jose naudojami komerciškai prieinami ir teisėti nuotolinio darbalaukio įrankiai, o ne Cobalt Strike . Didėjantis pasitikėjimas tokiais teisėtais įrankiais greičiausiai rodo, kad užpuolikai stengiasi išvengti aptikimo mechanizmų ir supaprastinti savo veiklą, todėl sumažėja poreikis kurti ir prižiūrėti pasirinktinius įrankius.

Išpirkos rašte, kurį „RansomHub Ransomware“ aukos gaus:

'Hello!

Visit our Blog:

Tor Browser Links:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion/

Links for normal browser:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion.ly/

>>> Your data is stolen and encrypted.

- If you don't pay the ransom, the data will be published on our TOR darknet sites. Keep in mind that once your data appears on our leak site, it could be bought by your competitors at any second, so don't hesitate for a long time. The sooner you pay the ransom, the sooner your company will be safe.


>>> If you have an external or cloud backup; what happens if you don’t agree with us?

- All countries have their own PDPL (Personal Data Protection Law) regulations. In the event that you do not agree with us, information pertaining to your companies and the data of your company’s customers will be published on the internet, and the respective country’s personal data usage authority will be informed. Moreover, confidential data related to your company will be shared with potential competitors through email and social media. You can be sure that you will incur damages far exceeding the amount we are requesting from you should you decide not to agree with us.


>>> Don't go to the police or the FBI for help and don't tell anyone that we attacked you.

- Seeking their help will only make the situation worse,They will try to prevent you from negotiating with us, because the negotiations will make them look incompetent,After the incident report is handed over to the government department, you will be fined ,The government uses your fine to reward them.And you will not get anything, and except you and your company, the rest of the people will forget what happened!!!!!


>>> How to contact with us?

- Install and run 'Tor Browser' from hxxps://www.torproject.org/download/
- Go to hxxp://h6tejafqdkdltp****************seslv6djgiukiii573xtid.onion/
- Log in using the Client ID: -


>>> WARNING

DO NOT MODIFY ENCRYPTED FILES YOURSELF.
DO NOT USE THIRD PARTY SOFTWARE TO RESTORE YOUR DATA.
YOU MAY DAMAGE YOUR FILES, IT WILL RESULT IN PERMANENT DATA LOSS.'

Tendencijos

Labiausiai žiūrima

„Geek Squad“ el. pašto sukčiavimas

Phishing, Spam
39,400
„Geek Squad“, populiarus techninės pagalbos teikėjas, tapo sukčiavimo sukčiavimo, vadinamo „Geek Squad“ el. pašto sukčiavimu, auka. Ši techninės pagalbos afera naudoja netikrus el. laiškus, kurie apgaudinėja žmones, kad jie atskleistų savo asmeninę informaciją, pvz., kredito kortelės duomenis, el. pašto adresus ir net socialinio draudimo numerius. Šiame straipsnyje aptarsime patį sukčiavimą,...
Įkeliama...