RansomHub Ransomware

Cybersikkerhetsanalytikere har avdekket en ny ransomware-stamme kalt RansomHub. Ifølge rapporter hevder nettkriminelle bak at de ikke vil målrette mot enheter i Samveldet av uavhengige stater (CIS), Cuba, Nord-Korea og Kina. Til tross for denne erklæringen, har de aktivt infisert flere fremtredende organisasjoner i løpet av kort tid. Blant ofrene deres er Change Healthcare, Christie's og Frontier Communications. Spesielt fremhever forskere at RansomHub har en betydelig likhet med Knight Ransomware , som er en iterasjon av den tidligere identifiserte løsepengevaren kalt Cyclops .

Knight Ransomware-koden ble tilbudt for salg til alle nettkriminelle

Knight Ransomware, også kjent som Cyclops 2.0, dukket opp i mai 2023, ved å bruke doble utpressingsteknikker for å stjele og kryptere ofrenes data for profitt. Den er i stand til å operere på ulike plattformer, inkludert Windows, Linux, macOS, ESXi og Android.

Solgt på RAMP cybercrime-forumet, var angrep med denne løsepengevaren ofte avhengige av phishing- og spear-phishing-taktikker, og brukte falske vedlegg for distribusjon. Ransomware-as-a-Service (RaaS)-operasjonen opphørte i slutten av februar 2024, og kildekoden ble lagt ut for salg. Dette trekket økte muligheten for en overføring til en ny skuespiller, som kan ha oppdatert og relansert den under navnet RansomHub.

Betydelige overlappinger mellom RansomHub og Knight Ransomware

Begge ransomware-stammene er skrevet i Go, og de fleste versjoner av hver familie er skjult med Gobfuscate. Det er en betydelig grad av kodelikhet mellom de to, noe som gjør det utfordrende å skille dem.

Begge løsepengevarefamiliene deler identiske hjelpemenyer på kommandolinjegrensesnittet. RansomHub introduserer imidlertid et nytt "sleep"-alternativ, som lar den forbli inaktiv i en spesifisert periode (i minutter) før den kjøres. Lignende søvnkommandoer har blitt observert i andre trusler som Chaos / Yashma og Trigona Ransomware.

Likhetene mellom Knight og RansomHub strekker seg til obfuskeringsteknikkene som brukes til å kode strenger, innholdet i løsepenger som er igjen etter kryptering av filer, og deres evne til å starte en vert på nytt i sikker modus før kryptering begynner.

Den primære forskjellen ligger i settet med kommandoer som utføres via cmd.exe, selv om sekvensen og utførelsen deres i forhold til andre operasjoner forblir den samme.

RansomHub Ransomware kan drives av veteraner på nettkriminelle

RansomHub-angrep har blitt observert som utnytter kjente sikkerhetssårbarheter (som ZeroLogon ) for å få førstegangstilgang. De dropper eksternt skrivebordsprogramvare som Atera og Splashtop før de distribuerer løsepengeprogramvare. Bare i april 2024 har nesten 30 bekreftede angrep blitt knyttet til denne løsepengevarestammen.

Forskere mistenker at RansomHub aktivt søker tilknyttede selskaper som er berørt av nylige nedleggelser eller utgangstaktikker, som LockBit og BlackCat (også kjent som ALPHV og Noberus). Det antas at et tidligere Noberus-tilknyttet selskap kalt Notchy nå kan samarbeide med RansomHub. I tillegg ble verktøy tidligere assosiert med et annet Noberus-tilknyttet selskap, Scattered Spider, brukt i et nylig RansomHub-angrep.

Den raske utvidelsen av RansomHubs virksomhet antyder at gruppen kan omfatte erfarne operatører med erfaring og forbindelser i cyberundergrunnen.

Ransomware-angrep er på vei oppover igjen

RansomHub-utviklingen kommer midt i en økning i løsepengevareaktivitet i 2023, etter en liten nedgang i 2022. Interessant nok er omtrent en tredjedel av de 50 nye løsepengevarefamiliene som ble oppdaget i løpet av året, varianter av tidligere identifiserte. Denne trenden antyder en økende utbredelse av koderesirkulering, aktøroverlapping og rebranding-strategier.

Disse angrepene er kjent for deres bruk av kommersielt tilgjengelige og legitime eksterne skrivebordsverktøy i stedet for å stole på Cobalt Strike . Den økende avhengigheten av slike legitime verktøy indikerer sannsynligvis angripernes forsøk på å unndra deteksjonsmekanismer og strømlinjeforme deres operasjoner, noe som reduserer behovet for å utvikle og vedlikeholde tilpassede verktøy.

Løsepengenotatet som ofre for RansomHub Ransomware vil motta lyder:

'Hello!

Visit our Blog:

Tor Browser Links:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion/

Links for normal browser:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion.ly/

>>> Your data is stolen and encrypted.

- If you don't pay the ransom, the data will be published on our TOR darknet sites. Keep in mind that once your data appears on our leak site, it could be bought by your competitors at any second, so don't hesitate for a long time. The sooner you pay the ransom, the sooner your company will be safe.

>>> If you have an external or cloud backup; what happens if you don’t agree with us?

- All countries have their own PDPL (Personal Data Protection Law) regulations. In the event that you do not agree with us, information pertaining to your companies and the data of your company’s customers will be published on the internet, and the respective country’s personal data usage authority will be informed. Moreover, confidential data related to your company will be shared with potential competitors through email and social media. You can be sure that you will incur damages far exceeding the amount we are requesting from you should you decide not to agree with us.

>>> Don't go to the police or the FBI for help and don't tell anyone that we attacked you.

- Seeking their help will only make the situation worse,They will try to prevent you from negotiating with us, because the negotiations will make them look incompetent,After the incident report is handed over to the government department, you will be fined ,The government uses your fine to reward them.And you will not get anything, and except you and your company, the rest of the people will forget what happened!!!!!

>>> How to contact with us?

- Install and run 'Tor Browser' from hxxps://www.torproject.org/download/
- Go to hxxp://h6tejafqdkdltp****************seslv6djgiukiii573xtid.onion/
- Log in using the Client ID: -

>>> WARNING

DO NOT MODIFY ENCRYPTED FILES YOURSELF.
DO NOT USE THIRD PARTY SOFTWARE TO RESTORE YOUR DATA.
YOU MAY DAMAGE YOUR FILES, IT WILL RESULT IN PERMANENT DATA LOSS.'