RansomHub Ransomware
Analitycy cyberbezpieczeństwa odkryli nową odmianę oprogramowania ransomware o nazwie RansomHub. Według doniesień stojący za tym cyberprzestępcy twierdzą, że nie będą atakować podmiotów w krajach Wspólnoty Niepodległych Państw (WNP), Kubie, Korei Północnej i Chinach. Pomimo tej deklaracji w krótkim czasie aktywnie infekują kilka znaczących organizacji. Wśród ich ofiar są Change Healthcare, Christie's i Frontier Communications. Warto zauważyć, że badacze podkreślają, że RansomHub wykazuje znaczne podobieństwo do Knight Ransomware , będącego iteracją wcześniej zidentyfikowanego oprogramowania ransomware o nazwie Cyclops .
Spis treści
Kod Knight Ransomware został wystawiony na sprzedaż wszystkim cyberprzestępcom
Oprogramowanie ransomware Knight, znane również jako Cyclops 2.0, pojawiło się w maju 2023 r. i wykorzystuje techniki podwójnego wymuszenia w celu kradzieży i szyfrowania danych ofiar w celu osiągnięcia zysku. Może działać na różnych platformach, w tym Windows, Linux, macOS, ESXi i Android.
Ataki tego oprogramowania ransomware, sprzedawane na forum cyberprzestępczym RAMP, często opierały się na taktyce phishingu i spear-phishingu, a do dystrybucji wykorzystywane były fałszywe załączniki. Operacja ransomware jako usługa (RaaS) zakończyła się pod koniec lutego 2024 r., a jego kod źródłowy został wystawiony na sprzedaż. Posunięcie to zwiększyło możliwość przeniesienia do nowego aktora, który mógł zaktualizować i ponownie uruchomić usługę pod nazwą RansomHub.
Znaczące pokrywanie się zagrożeń pomiędzy RansomHub i Knight Ransomware
Obie odmiany ransomware są napisane w Go, a większość wersji każdej rodziny jest zaciemniana za pomocą Gobfuscate. Istnieje znaczny stopień podobieństwa kodu między nimi, co utrudnia ich rozróżnienie.
Obie rodziny ransomware mają identyczne menu pomocy w interfejsie wiersza poleceń. Jednakże RansomHub wprowadza nową opcję „uśpienia”, która pozwala mu pozostać nieaktywnym przez określony czas (w minutach) przed wykonaniem. Podobne polecenia uśpienia zaobserwowano w przypadku innych zagrożeń, takich jak Chaos / Yashma i Trigona Ransomware.
Podobieństwa między Knight i RansomHub obejmują techniki zaciemniania używane do kodowania ciągów znaków, treść notatek z żądaniem okupu pozostawionych po zaszyfrowaniu plików oraz ich zdolność do ponownego uruchomienia hosta w trybie awaryjnym przed rozpoczęciem szyfrowania.
Podstawowa różnica polega na zestawie poleceń wykonywanych przez cmd.exe, chociaż ich kolejność i sposób wykonania w porównaniu z innymi operacjami pozostają takie same.
RansomHub Ransomware może być obsługiwane przez doświadczonych cyberprzestępców
Zaobserwowano ataki RansomHub wykorzystujące znane luki w zabezpieczeniach (takie jak ZeroLogon ) w celu uzyskania początkowego dostępu. Przed wdrożeniem oprogramowania ransomware porzucają oprogramowanie do zdalnego pulpitu, takie jak Atera i Splashtop. Tylko w kwietniu 2024 r. z tą odmianą ransomware powiązano prawie 30 potwierdzonych ataków.
Badacze podejrzewają, że RansomHub aktywnie poszukuje partnerów, których dotyczą niedawne przestoje lub taktyki wyjścia, takich jak LockBit i BlackCat (znane również jako ALPHV i Noberus). Uważa się, że były partner Noberusa o nazwie Notchy może teraz współpracować z RansomHub. Ponadto w niedawnym ataku RansomHub wykorzystano narzędzia wcześniej powiązane z innym podmiotem stowarzyszonym Noberusa, firmą Scattered Spider.
Szybki rozwój działalności RansomHub sugeruje, że w skład grupy mogą wchodzić doświadczeni operatorzy z doświadczeniem i znajomościami w cyberpodziemiu.
Liczba ataków ransomware ponownie rośnie
Rozwój RansomHub nastąpił w okresie wzrostu aktywności oprogramowania ransomware w 2023 r., po niewielkim spadku w 2022 r. Co ciekawe, około jedna trzecia z 50 nowych rodzin oprogramowania ransomware odkrytych w ciągu roku to odmiany wcześniej zidentyfikowanych rodzin. Tendencja ta sugeruje rosnącą powszechność recyklingu kodu, nakładania się aktorów i strategii rebrandingu.
Ataki te charakteryzują się wykorzystaniem dostępnych na rynku i legalnych narzędzi zdalnego pulpitu zamiast polegania na Cobalt Strike . Rosnąca zależność od takich legalnych narzędzi prawdopodobnie wskazuje, że osoby atakujące starają się ominąć mechanizmy wykrywania i usprawnić swoje działania, ograniczając potrzebę opracowywania i utrzymywania niestandardowych narzędzi.
Żądanie okupu, które otrzymają ofiary RansomHub Ransomware, brzmi:
'Hello!
Visit our Blog:
Tor Browser Links:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion/Links for normal browser:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion.ly/>>> Your data is stolen and encrypted.
- If you don't pay the ransom, the data will be published on our TOR darknet sites. Keep in mind that once your data appears on our leak site, it could be bought by your competitors at any second, so don't hesitate for a long time. The sooner you pay the ransom, the sooner your company will be safe.
>>> If you have an external or cloud backup; what happens if you don’t agree with us?- All countries have their own PDPL (Personal Data Protection Law) regulations. In the event that you do not agree with us, information pertaining to your companies and the data of your company’s customers will be published on the internet, and the respective country’s personal data usage authority will be informed. Moreover, confidential data related to your company will be shared with potential competitors through email and social media. You can be sure that you will incur damages far exceeding the amount we are requesting from you should you decide not to agree with us.
>>> Don't go to the police or the FBI for help and don't tell anyone that we attacked you.- Seeking their help will only make the situation worse,They will try to prevent you from negotiating with us, because the negotiations will make them look incompetent,After the incident report is handed over to the government department, you will be fined ,The government uses your fine to reward them.And you will not get anything, and except you and your company, the rest of the people will forget what happened!!!!!
>>> How to contact with us?- Install and run 'Tor Browser' from hxxps://www.torproject.org/download/
- Go to hxxp://h6tejafqdkdltp****************seslv6djgiukiii573xtid.onion/
- Log in using the Client ID: -
>>> WARNINGDO NOT MODIFY ENCRYPTED FILES YOURSELF.
DO NOT USE THIRD PARTY SOFTWARE TO RESTORE YOUR DATA.
YOU MAY DAMAGE YOUR FILES, IT WILL RESULT IN PERMANENT DATA LOSS.'
