RansomHub-ransomware

Cybersecurity-analisten hebben een nieuwe ransomware-variant ontdekt, genaamd RansomHub. Volgens rapporten beweren de cybercriminelen erachter dat ze zich niet zullen richten op entiteiten in de landen van het Gemenebest van Onafhankelijke Staten (GOS), Cuba, Noord-Korea en China. Ondanks deze verklaring hebben ze in korte tijd actief verschillende prominente organisaties besmet. Onder hun slachtoffers bevinden zich Change Healthcare, Christie's en Frontier Communications. Onderzoekers benadrukken met name dat RansomHub een aanzienlijke gelijkenis vertoont met Knight Ransomware , een herhaling van de eerder geïdentificeerde ransomware genaamd Cyclops .

De Knight Ransomware-code werd te koop aangeboden aan alle cybercriminelen

De Knight Ransomware, ook bekend als Cyclops 2.0, verscheen in mei 2023 en maakte gebruik van dubbele afpersingstechnieken om de gegevens van slachtoffers te stelen en te coderen voor winst. Het kan op verschillende platforms werken, waaronder Windows, Linux, macOS, ESXi en Android.

Aanvallen met deze ransomware, verkocht op het RAMP-cybercrimeforum, waren vaak gebaseerd op phishing- en spearphishing-tactieken, waarbij voor de distributie frauduleuze bijlagen werden gebruikt. De Ransomware-as-a-Service (RaaS)-operatie stopte eind februari 2024 en de broncode werd te koop aangeboden. Deze stap bracht de mogelijkheid van een overdracht naar een nieuwe acteur met zich mee, die het mogelijk heeft bijgewerkt en opnieuw gelanceerd onder de naam RansomHub.

Aanzienlijke overlappingen tussen RansomHub en de Knight Ransomware

Beide ransomware-varianten zijn geschreven in Go en de meeste versies van elke familie zijn versluierd met Gobfuscate. Er is een aanzienlijke mate van code-overeenkomst tussen de twee, waardoor het een uitdaging is om ze van elkaar te onderscheiden.

Beide ransomwarefamilies delen identieke helpmenu's op de opdrachtregelinterface. RansomHub introduceert echter een nieuwe 'slaap'-optie, waardoor het gedurende een bepaalde periode (in minuten) inactief kan blijven voordat het wordt uitgevoerd. Soortgelijke slaapopdrachten zijn waargenomen bij andere bedreigingen zoals Chaos / Yashma en de Trigona Ransomware.

De overeenkomsten tussen Knight en RansomHub strekken zich uit tot de verduisteringstechnieken die worden gebruikt voor het coderen van tekenreeksen, de inhoud van losgeldbriefjes die achterblijven na het versleutelen van bestanden, en hun vermogen om een host opnieuw op te starten in de veilige modus voordat de versleuteling begint.

Het belangrijkste verschil ligt in de reeks opdrachten die via cmd.exe worden uitgevoerd, hoewel hun volgorde en uitvoering ten opzichte van andere bewerkingen hetzelfde blijven.

De RansomHub Ransomware kan worden beheerd door ervaren cybercriminelen

Er zijn RansomHub-aanvallen waargenomen waarbij gebruik werd gemaakt van bekende beveiligingsproblemen (zoals ZeroLogon ) om initiële toegang te verkrijgen. Ze laten externe desktopsoftware zoals Atera en Splashtop vallen voordat ze ransomware inzetten. Alleen al in april 2024 zijn bijna 30 bevestigde aanvallen in verband gebracht met deze ransomware-soort.

Onderzoekers vermoeden dat RansomHub actief op zoek is naar partners die getroffen zijn door recente shutdowns of exit-tactieken, zoals die van LockBit en BlackCat (ook bekend als ALPHV en Noberus). Er wordt aangenomen dat een voormalig Noberus-filiaal genaamd Notchy nu mogelijk samenwerkt met RansomHub. Bovendien werden bij een recente RansomHub-aanval tools gebruikt die voorheen geassocieerd waren met een ander Noberus-filiaal, Scattered Spider.

De snelle uitbreiding van de activiteiten van RansomHub suggereert dat de groep mogelijk bestaat uit doorgewinterde operators met ervaring en connecties in de cyber-underground.

Ransomware-aanvallen nemen weer toe

De ontwikkeling van RansomHub vindt plaats te midden van een stijging van de ransomware-activiteit in 2023, na een lichte daling in 2022. Interessant genoeg zijn ongeveer een derde van de 50 nieuwe ransomware-families die in de loop van het jaar zijn ontdekt variaties op eerder geïdentificeerde families. Deze trend duidt op een toenemende prevalentie van coderecycling, overlappingen tussen actoren en rebrandingstrategieën.

Deze aanvallen vallen op door het gebruik van in de handel verkrijgbare en legitieme externe desktoptools in plaats van te vertrouwen op Cobalt Strike . De toenemende afhankelijkheid van dergelijke legitieme tools duidt waarschijnlijk op de pogingen van aanvallers om detectiemechanismen te omzeilen en hun activiteiten te stroomlijnen, waardoor de noodzaak voor het ontwikkelen en onderhouden van aangepaste tools afneemt.

De losgeldbrief die slachtoffers van de RansomHub Ransomware zullen ontvangen luidt als volgt:

'Hello!

Visit our Blog:

Tor Browser Links:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion/

Links for normal browser:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion.ly/

>>> Your data is stolen and encrypted.

- If you don't pay the ransom, the data will be published on our TOR darknet sites. Keep in mind that once your data appears on our leak site, it could be bought by your competitors at any second, so don't hesitate for a long time. The sooner you pay the ransom, the sooner your company will be safe.

>>> If you have an external or cloud backup; what happens if you don’t agree with us?

- All countries have their own PDPL (Personal Data Protection Law) regulations. In the event that you do not agree with us, information pertaining to your companies and the data of your company’s customers will be published on the internet, and the respective country’s personal data usage authority will be informed. Moreover, confidential data related to your company will be shared with potential competitors through email and social media. You can be sure that you will incur damages far exceeding the amount we are requesting from you should you decide not to agree with us.

>>> Don't go to the police or the FBI for help and don't tell anyone that we attacked you.

- Seeking their help will only make the situation worse,They will try to prevent you from negotiating with us, because the negotiations will make them look incompetent,After the incident report is handed over to the government department, you will be fined ,The government uses your fine to reward them.And you will not get anything, and except you and your company, the rest of the people will forget what happened!!!!!

>>> How to contact with us?

- Install and run 'Tor Browser' from hxxps://www.torproject.org/download/
- Go to hxxp://h6tejafqdkdltp****************seslv6djgiukiii573xtid.onion/
- Log in using the Client ID: -

>>> WARNING

DO NOT MODIFY ENCRYPTED FILES YOURSELF.
DO NOT USE THIRD PARTY SOFTWARE TO RESTORE YOUR DATA.
YOU MAY DAMAGE YOUR FILES, IT WILL RESULT IN PERMANENT DATA LOSS.'