RansomHub Ransomware
Penganalisis keselamatan siber telah menemui strain perisian tebusan baharu bernama RansomHub. Menurut laporan, penjenayah siber di belakangnya mendakwa mereka tidak akan menyasarkan entiti di negara Komanwel Negara Merdeka (CIS), Cuba, Korea Utara dan China. Walaupun pengisytiharan ini, mereka telah secara aktif menjangkiti beberapa organisasi terkemuka dalam tempoh yang singkat. Antara mangsa mereka ialah Change Healthcare, Christie's, dan Frontier Communications. Terutamanya, penyelidik menyerlahkan bahawa RansomHub mempunyai persamaan yang ketara dengan Knight Ransomware , yang merupakan lelaran perisian tebusan yang dikenal pasti sebelum ini yang dipanggil Cyclops .
Isi kandungan
Kod Ransomware Knight Telah Ditawarkan untuk Dijual kepada Semua Penjenayah Siber
Knight Ransomware, juga dikenali sebagai Cyclops 2.0, muncul pada Mei 2023, menggunakan teknik pemerasan berganda untuk mencuri dan menyulitkan data mangsa untuk keuntungan. Ia mampu beroperasi pada pelbagai platform, termasuk Windows, Linux, macOS, ESXi dan Android.
Dijual di forum jenayah siber RAMP, serangan dengan perisian tebusan ini sering bergantung pada taktik pancingan data dan spear-phishing, menggunakan lampiran penipuan untuk pengedaran. Operasi Ransomware-as-a-Service (RaaS) dihentikan pada akhir Februari 2024, dengan kod sumbernya disediakan untuk dijual. Langkah ini menimbulkan kemungkinan pemindahan kepada pelakon baharu, yang mungkin telah mengemas kini dan melancarkannya semula di bawah nama RansomHub.
Pertindihan Ketara Antara RansomHub dan Knight Ransomware
Kedua-dua jenis perisian tebusan ditulis dalam Go, dan kebanyakan versi setiap keluarga dikaburkan dengan Gobfuscate. Terdapat tahap persamaan kod yang ketara antara kedua-duanya, menjadikannya mencabar untuk membezakannya.
Kedua-dua keluarga ransomware berkongsi menu bantuan yang sama pada antara muka baris arahan. Walau bagaimanapun, RansomHub memperkenalkan pilihan 'tidur' baharu, membolehkannya kekal tidak aktif untuk tempoh tertentu (dalam beberapa minit) sebelum dilaksanakan. Arahan tidur yang serupa telah diperhatikan dalam ancaman lain seperti Chaos / Yashma dan Trigona Ransomware.
Persamaan antara Knight dan RansomHub berlanjutan kepada teknik pengeliruan yang digunakan untuk pengekodan rentetan, kandungan nota tebusan yang ditinggalkan selepas menyulitkan fail dan keupayaan mereka untuk but semula hos ke dalam mod selamat sebelum penyulitan bermula.
Perbezaan utama terletak pada set perintah yang dilaksanakan melalui cmd.exe, walaupun urutan dan pelaksanaannya berbanding dengan operasi lain tetap sama.
Ransomware RansomHub mungkin Dikendalikan oleh Penjenayah Siber Veteran
Serangan RansomHub telah diperhatikan mengeksploitasi kelemahan keselamatan yang diketahui (seperti ZeroLogon ) untuk mendapatkan akses awal. Mereka menggugurkan perisian desktop jauh seperti Atera dan Splashtop sebelum menggunakan perisian tebusan. Pada April 2024 sahaja, hampir 30 serangan yang disahkan telah dikaitkan dengan strain ransomware ini.
Penyelidik mengesyaki RansomHub sedang giat mencari ahli gabungan yang terjejas oleh penutupan atau taktik keluar baru-baru ini, seperti LockBit dan BlackCat (juga dikenali sebagai ALPHV dan Noberus). Adalah dipercayai bahawa bekas ahli gabungan Noberus bernama Notchy kini mungkin bekerjasama dengan RansomHub. Selain itu, alatan yang sebelum ini dikaitkan dengan ahli gabungan Noberus yang lain, Scattered Spider, telah digunakan dalam serangan RansomHub baru-baru ini.
Pengembangan pantas operasi RansomHub mencadangkan kumpulan itu mungkin terdiri daripada pengendali berpengalaman dengan pengalaman dan sambungan dalam siber bawah tanah.
Serangan Ransomware Semakin Meningkat Lagi
Pembangunan RansomHub berlaku di tengah-tengah peningkatan dalam aktiviti perisian tebusan pada tahun 2023, berikutan penurunan sedikit pada tahun 2022. Menariknya, kira-kira satu pertiga daripada 50 keluarga perisian tebusan baharu yang ditemui pada tahun itu adalah variasi daripada yang dikenal pasti sebelum ini. Aliran ini mencadangkan peningkatan kelaziman kitar semula kod, pertindihan aktor dan strategi penjenamaan semula.
Serangan ini terkenal kerana penggunaan alat desktop jauh yang tersedia secara komersial dan sah daripada bergantung pada Cobalt Strike . Pergantungan yang semakin meningkat pada alat yang sah seperti itu mungkin menunjukkan usaha penyerang untuk mengelak mekanisme pengesanan dan menyelaraskan operasi mereka, mengurangkan keperluan untuk membangun dan menyelenggara alat tersuai.
Nota tebusan yang akan diterima oleh mangsa RansomHub Ransomware berbunyi:
'Hello!
Visit our Blog:
Tor Browser Links:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion/Links for normal browser:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion.ly/>>> Your data is stolen and encrypted.
- If you don't pay the ransom, the data will be published on our TOR darknet sites. Keep in mind that once your data appears on our leak site, it could be bought by your competitors at any second, so don't hesitate for a long time. The sooner you pay the ransom, the sooner your company will be safe.
>>> If you have an external or cloud backup; what happens if you don’t agree with us?- All countries have their own PDPL (Personal Data Protection Law) regulations. In the event that you do not agree with us, information pertaining to your companies and the data of your company’s customers will be published on the internet, and the respective country’s personal data usage authority will be informed. Moreover, confidential data related to your company will be shared with potential competitors through email and social media. You can be sure that you will incur damages far exceeding the amount we are requesting from you should you decide not to agree with us.
>>> Don't go to the police or the FBI for help and don't tell anyone that we attacked you.- Seeking their help will only make the situation worse,They will try to prevent you from negotiating with us, because the negotiations will make them look incompetent,After the incident report is handed over to the government department, you will be fined ,The government uses your fine to reward them.And you will not get anything, and except you and your company, the rest of the people will forget what happened!!!!!
>>> How to contact with us?- Install and run 'Tor Browser' from hxxps://www.torproject.org/download/
- Go to hxxp://h6tejafqdkdltp****************seslv6djgiukiii573xtid.onion/
- Log in using the Client ID: -
>>> WARNINGDO NOT MODIFY ENCRYPTED FILES YOURSELF.
DO NOT USE THIRD PARTY SOFTWARE TO RESTORE YOUR DATA.
YOU MAY DAMAGE YOUR FILES, IT WILL RESULT IN PERMANENT DATA LOSS.'
