RansomHub Ransomware
Analiștii de securitate cibernetică au descoperit o nouă tulpină de ransomware numită RansomHub. Potrivit rapoartelor, infractorii cibernetici din spatele ei susțin că nu vor viza entități din țările Comunității Statelor Independente (CSI), Cuba, Coreea de Nord și China. În ciuda acestei declarații, aceștia au infectat în mod activ mai multe organizații proeminente într-un interval scurt. Printre victimele lor se numără Change Healthcare, Christie's și Frontier Communications. În special, cercetătorii subliniază că RansomHub are o asemănare semnificativă cu Knight Ransomware , care este o iterație a ransomware-ului identificat anterior numit Cyclops .
Cuprins
Codul Knight Ransomware a fost oferit spre vânzare tuturor criminalilor cibernetici
Knight Ransomware, cunoscut și sub numele de Cyclops 2.0, a apărut în mai 2023, utilizând tehnici de extorcare dublă pentru a fura și a cripta datele victimelor pentru profit. Este capabil să funcționeze pe diverse platforme, inclusiv Windows, Linux, macOS, ESXi și Android.
Vândute pe forumul RAMP de criminalitate cibernetică, atacurile cu acest ransomware se bazau adesea pe tactici de phishing și spear-phishing, folosind atașamente frauduloase pentru distribuire. Operațiunea Ransomware-as-a-Service (RaaS) a încetat până la sfârșitul lunii februarie 2024, codul sursă fiind scos la vânzare. Această mișcare a ridicat posibilitatea unui transfer către un nou actor, care poate să fi actualizat și relansat sub numele de RansomHub.
Suprapuneri semnificative între RansomHub și Knight Ransomware
Ambele tulpini de ransomware sunt scrise în Go, iar cele mai multe versiuni ale fiecărei familii sunt ascunse cu Gobfuscate. Există un grad semnificativ de similaritate de cod între cele două, ceea ce face dificilă distingerea acestora.
Ambele familii de ransomware partajează meniuri de ajutor identice pe interfața de linie de comandă. Cu toate acestea, RansomHub introduce o nouă opțiune de „sleep”, care îi permite să rămână inactiv pentru o perioadă specificată (în minute) înainte de a fi executat. Comenzi de somn similare au fost observate în alte amenințări precum Chaos / Yashma și Trigona Ransomware.
Asemănările dintre Knight și RansomHub se extind la tehnicile de ofuscare utilizate pentru codificarea șirurilor, conținutul notelor de răscumpărare rămase după criptarea fișierelor și capacitatea lor de a reporni o gazdă în modul sigur înainte de a începe criptarea.
Diferența principală constă în setul de comenzi executate prin cmd.exe, deși secvența și execuția lor în raport cu alte operațiuni rămân aceleași.
Ransomware-ul RansomHub poate fi operat de criminali cibernetici veterani
Au fost observate atacuri RansomHub exploatând vulnerabilitățile de securitate cunoscute (cum ar fi ZeroLogon ) pentru a obține accesul inițial. Ei renunță la software-uri desktop de la distanță precum Atera și Splashtop înainte de a implementa ransomware. Numai în aprilie 2024, aproape 30 de atacuri confirmate au fost legate de această tulpină de ransomware.
Cercetătorii bănuiesc că RansomHub caută în mod activ afiliați afectați de închideri recente sau tactici de ieșire, cum ar fi cele ale LockBit și BlackCat (cunoscute și ca ALPHV și Noberus). Se crede că un fost afiliat Noberus numit Notchy ar putea colabora acum cu RansomHub. În plus, instrumentele asociate anterior cu un alt afiliat Noberus, Scattered Spider, au fost folosite într-un atac recent RansomHub.
Expansiunea rapidă a operațiunilor RansomHub sugerează că grupul poate cuprinde operatori experimentați cu experiență și conexiuni în mediul cibernetic.
Atacurile ransomware sunt din nou în creștere
Dezvoltarea RansomHub vine pe fondul unei creșteri a activității de ransomware în 2023, după o scădere ușoară în 2022. Interesant este că aproximativ o treime din cele 50 de noi familii de ransomware descoperite în cursul anului sunt variații ale celor identificate anterior. Această tendință sugerează o prevalență tot mai mare a reciclării codului, a suprapunerilor de actori și a strategiilor de rebranding.
Aceste atacuri se remarcă prin utilizarea instrumentelor desktop de la distanță disponibile comercial și legitime, mai degrabă decât să se bazeze pe Cobalt Strike . Dependența tot mai mare de astfel de instrumente legitime indică probabil eforturile atacatorilor de a se sustrage mecanismelor de detectare și de a-și eficientiza operațiunile, reducând nevoia de a dezvolta și menține instrumente personalizate.
Nota de răscumpărare că victimele RansomHub Ransomware vor primi următoarele citiri:
'Hello!
Visit our Blog:
Tor Browser Links:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion/Links for normal browser:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion.ly/>>> Your data is stolen and encrypted.
- If you don't pay the ransom, the data will be published on our TOR darknet sites. Keep in mind that once your data appears on our leak site, it could be bought by your competitors at any second, so don't hesitate for a long time. The sooner you pay the ransom, the sooner your company will be safe.
>>> If you have an external or cloud backup; what happens if you don’t agree with us?- All countries have their own PDPL (Personal Data Protection Law) regulations. In the event that you do not agree with us, information pertaining to your companies and the data of your company’s customers will be published on the internet, and the respective country’s personal data usage authority will be informed. Moreover, confidential data related to your company will be shared with potential competitors through email and social media. You can be sure that you will incur damages far exceeding the amount we are requesting from you should you decide not to agree with us.
>>> Don't go to the police or the FBI for help and don't tell anyone that we attacked you.- Seeking their help will only make the situation worse,They will try to prevent you from negotiating with us, because the negotiations will make them look incompetent,After the incident report is handed over to the government department, you will be fined ,The government uses your fine to reward them.And you will not get anything, and except you and your company, the rest of the people will forget what happened!!!!!
>>> How to contact with us?- Install and run 'Tor Browser' from hxxps://www.torproject.org/download/
- Go to hxxp://h6tejafqdkdltp****************seslv6djgiukiii573xtid.onion/
- Log in using the Client ID: -
>>> WARNINGDO NOT MODIFY ENCRYPTED FILES YOURSELF.
DO NOT USE THIRD PARTY SOFTWARE TO RESTORE YOUR DATA.
YOU MAY DAMAGE YOUR FILES, IT WILL RESULT IN PERMANENT DATA LOSS.'
