Multi-License Discount Quote
Draudu datu bāze Ransomware RansomHub Ransomware

RansomHub Ransomware

Līdz Mezo. gadam Ransomware. gadā
Tulkot uz:
Latviešu

Kiberdrošības analītiķi ir atklājuši jaunu izspiedējvīrusu celmu ar nosaukumu RansomHub. Saskaņā ar ziņojumiem, kibernoziedznieki, kas atrodas aiz tā, apgalvo, ka viņi nevērsīsies pret organizācijām Neatkarīgo Valstu Savienības (NVS) valstīs, Kubā, Ziemeļkorejā un Ķīnā. Neskatoties uz šo paziņojumu, viņi īsā laika posmā ir aktīvi inficējuši vairākas ievērojamas organizācijas. Viņu upuru vidū ir Change Healthcare, Christie's un Frontier Communications. Pētnieki īpaši uzsver, ka RansomHub ir ievērojama līdzība ar Knight Ransomware , kas ir iepriekš identificētās izpirkuma programmatūras atkārtojums ar nosaukumu Cyclops .

Knight Ransomware kods tika piedāvāts pārdošanai visiem kibernoziedzniekiem

Knight Ransomware, kas pazīstams arī kā Cyclops 2.0, parādījās 2023. gada maijā, izmantojot dubultas izspiešanas metodes, lai nozagtu un šifrētu upuru datus peļņas gūšanas nolūkā. Tas var darboties dažādās platformās, tostarp Windows, Linux, macOS, ESXi un Android.

Pārdots RAMP kibernoziegumu forumā, uzbrukumi ar šo izspiedējprogrammatūru bieži balstījās uz pikšķerēšanas un šķēppikšķerēšanas taktiku, izplatīšanai izmantojot krāpnieciskus pielikumus. Ransomware-as-a-Service (RaaS) darbība tika pārtraukta 2024. gada februāra beigās, un tā pirmkods tika nodots pārdošanā. Šis solis radīja iespēju pāriet uz jaunu dalībnieku, kurš, iespējams, to ir atjauninājis un atsācis ar nosaukumu RansomHub.

Ievērojama RansomHub un Knight Ransomware pārklāšanās

Abi ransomware celmi ir rakstīti Go, un lielākā daļa katras saimes versiju ir apslēptas ar Gobfuscate. Starp abiem ir ievērojama koda līdzības pakāpe, tāpēc ir grūti tos atšķirt.

Abām ransomware saimēm komandrindas saskarnē ir identiskas palīdzības izvēlnes. Tomēr RansomHub ievieš jaunu “miega” opciju, ļaujot tai palikt neaktīvai noteiktu laiku (minūtēs) pirms izpildes. Līdzīgas miega komandas ir novērotas arī citos apdraudējumos, piemēram, Chaos / Yashma un Trigona Ransomware.

Līdzības starp Knight un RansomHub attiecas uz virkņu kodēšanai izmantotajām apmulsināšanas metodēm, pēc failu šifrēšanas atstāto izpirkuma piezīmju saturu un to spēju pārstartēt resursdatoru drošajā režīmā pirms šifrēšanas sākuma.

Galvenā atšķirība ir komandu komplektā, kas tiek izpildīts, izmantojot cmd.exe, lai gan to secība un izpilde attiecībā pret citām darbībām paliek nemainīga.

RansomHub Ransomware var darbināt veterāni kibernoziedznieki

Ir novēroti RansomHub uzbrukumi, kas izmanto zināmas drošības ievainojamības (piemēram, ZeroLogon ), lai iegūtu sākotnējo piekļuvi. Viņi atmet attālās darbvirsmas programmatūru, piemēram, Atera un Splashtop, pirms izvieto izspiedējvīrusu. 2024. gada aprīlī vien ar šo izspiedējvīrusu celmu ir saistīti gandrīz 30 apstiprināti uzbrukumi.

Pētniekiem ir aizdomas, ka RansomHub aktīvi meklē saistītos uzņēmumus, kurus skārušas nesenās slēgšanas vai izejas taktikas, piemēram, LockBit un BlackCat (pazīstami arī kā ALPHV un Noberus). Tiek uzskatīts, ka bijušais Noberus saistītais uzņēmums Notchy tagad varētu sadarboties ar RansomHub. Turklāt nesenajā RansomHub uzbrukumā tika izmantoti rīki, kas iepriekš bija saistīti ar citu Noberus filiāli — Scattered Spider.

RansomHub darbības straujā paplašināšanās liecina, ka grupā varētu būt pieredzējuši operatori ar pieredzi un savienojumiem kiberpazemes jomā.

Ransomware uzbrukumi atkal pieaug

RansomHub izstrāde notiek laikā, kad 2023. gadā pieauga izspiedējvīrusu aktivitāte, kas sekoja nelielam samazinājumam 2022. gadā. Interesanti, ka aptuveni trešā daļa no 50 jaunajām gada laikā atklātajām izspiedējvīrusu ģimenēm ir iepriekš identificētu variācijas. Šī tendence liecina par pieaugošu koda pārstrādes, dalībnieku pārklāšanās un zīmola maiņas stratēģiju izplatību.

Šie uzbrukumi ir ievērojami ar to, ka tiek izmantoti komerciāli pieejami un likumīgi attālās darbvirsmas rīki, nevis paļauties uz Cobalt Strike . Pieaugošā paļaušanās uz šādiem likumīgiem rīkiem, iespējams, norāda uz uzbrucēju centieniem izvairīties no atklāšanas mehānismiem un racionalizēt savas darbības, samazinot vajadzību izstrādāt un uzturēt pielāgotus rīkus.

Izpirkuma piezīmē, ko RansomHub Ransomware upuri saņems, ir šāds:

'Hello!

Visit our Blog:

Tor Browser Links:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion/

Links for normal browser:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion.ly/

>>> Your data is stolen and encrypted.

- If you don't pay the ransom, the data will be published on our TOR darknet sites. Keep in mind that once your data appears on our leak site, it could be bought by your competitors at any second, so don't hesitate for a long time. The sooner you pay the ransom, the sooner your company will be safe.


>>> If you have an external or cloud backup; what happens if you don’t agree with us?

- All countries have their own PDPL (Personal Data Protection Law) regulations. In the event that you do not agree with us, information pertaining to your companies and the data of your company’s customers will be published on the internet, and the respective country’s personal data usage authority will be informed. Moreover, confidential data related to your company will be shared with potential competitors through email and social media. You can be sure that you will incur damages far exceeding the amount we are requesting from you should you decide not to agree with us.


>>> Don't go to the police or the FBI for help and don't tell anyone that we attacked you.

- Seeking their help will only make the situation worse,They will try to prevent you from negotiating with us, because the negotiations will make them look incompetent,After the incident report is handed over to the government department, you will be fined ,The government uses your fine to reward them.And you will not get anything, and except you and your company, the rest of the people will forget what happened!!!!!


>>> How to contact with us?

- Install and run 'Tor Browser' from hxxps://www.torproject.org/download/
- Go to hxxp://h6tejafqdkdltp****************seslv6djgiukiii573xtid.onion/
- Log in using the Client ID: -


>>> WARNING

DO NOT MODIFY ENCRYPTED FILES YOURSELF.
DO NOT USE THIRD PARTY SOFTWARE TO RESTORE YOUR DATA.
YOU MAY DAMAGE YOUR FILES, IT WILL RESULT IN PERMANENT DATA LOSS.'

Tendences

Visvairāk skatīts

“Geek Squad” e-pasta krāpniecība

Phishing, Spam
39,400
Populārs tehniskā atbalsta sniedzējs Geek Squad ir kļuvis par pikšķerēšanas krāpniecības upuri, ko sauc par Geek Squad e-pasta krāpniecību. Šajā tehniskā atbalsta krāpniecībā tiek izmantoti viltoti e-pasta ziņojumi, kas liek cilvēkiem izpaust savu personisko informāciju, piemēram, kredītkartes datus, e-pasta adreses un pat sociālās apdrošināšanas numurus. Šajā rakstā mēs apspriedīsim pašu...
Notiek ielāde...