RansomHub Программы-вымогатели
Аналитики кибербезопасности обнаружили новый штамм программы-вымогателя под названием RansomHub. По имеющимся данным, киберпреступники, стоящие за этим, заявляют, что не будут атаковать организации в странах Содружества Независимых Государств (СНГ), Кубе, Северной Корее и Китае. Несмотря на это заявление, за короткий промежуток времени они активно заразили несколько известных организаций. Среди их жертв — Change Healthcare, Christie's и Frontier Communications. Примечательно, что исследователи подчеркивают, что RansomHub имеет значительное сходство с Knight Ransomware , который является версией ранее идентифицированной программы-вымогателя под названием Cyclops .
Оглавление
Код-вымогатель Knight был предложен к продаже всем киберпреступникам
Программа-вымогатель Knight, также известная как Cyclops 2.0, появилась в мае 2023 года и использует методы двойного вымогательства для кражи и шифрования данных жертв с целью получения прибыли. Он способен работать на различных платформах, включая Windows, Linux, macOS, ESXi и Android.
Атаки с помощью этой программы-вымогателя, продаваемой на форуме киберпреступности RAMP, часто основывались на тактике фишинга и целевого фишинга с использованием мошеннических вложений для распространения. К концу февраля 2024 года операция «Программа-вымогатель как услуга» (RaaS) была прекращена, а ее исходный код был выставлен на продажу. Этот шаг повысил вероятность передачи новому исполнителю, который, возможно, обновил и перезапустил его под именем RansomHub.
Значительные совпадения между RansomHub и Knight Ransomware
Оба штамма программ-вымогателей написаны на Go, и большинство версий каждого семейства запутаны с помощью Gobfuscate. Между ними существует значительная степень сходства кода, что затрудняет их различение.
Оба семейства программ-вымогателей имеют одинаковые меню справки в интерфейсе командной строки. Однако RansomHub представляет новую опцию «спящего режима», позволяющую ему оставаться неактивным в течение определенного периода (в минутах) перед выполнением. Подобные команды сна наблюдались и у других угроз, таких как Chaos / Yashma и Trigona Ransomware.
Сходство между Knight и RansomHub распространяется на методы обфускации, используемые для кодирования строк, содержание записок о выкупе, оставшихся после шифрования файлов, а также их способность перезагружать хост в безопасный режим перед началом шифрования.
Основное отличие заключается в наборе команд, выполняемых через cmd.exe, хотя их последовательность и выполнение относительно других операций остаются прежними.
Программой-вымогателем RansomHub могут управлять опытные киберпреступники
Были замечены атаки RansomHub с использованием известных уязвимостей безопасности (таких как ZeroLogon ) для получения первоначального доступа. Они отказываются от программного обеспечения для удаленного рабочего стола, такого как Atera и Splashtop, прежде чем внедрять программы-вымогатели. Только в апреле 2024 года с этим штаммом программ-вымогателей было связано около 30 подтвержденных атак.
Исследователи подозревают, что RansomHub активно ищет филиалы, пострадавшие от недавних закрытий или тактики выхода, например, у LockBit и BlackCat (также известных как ALPHV и Noberus). Считается, что бывший филиал Noberus под названием Notchy теперь может сотрудничать с RansomHub. Кроме того, в недавней атаке RansomHub использовались инструменты, ранее связанные с другим филиалом Noberus, Scattered Spider.
Быстрое расширение деятельности RansomHub позволяет предположить, что в состав группы могут входить опытные операторы с опытом и связями в киберподполье.
Атаки программ-вымогателей снова растут
Разработка RansomHub происходит на фоне роста активности программ-вымогателей в 2023 году после небольшого снижения в 2022 году. Интересно, что около трети из 50 новых семейств программ-вымогателей, обнаруженных в течение года, представляют собой вариации ранее выявленных. Эта тенденция предполагает растущую распространенность повторного использования кода, дублирования участников и стратегий ребрендинга.
Эти атаки примечательны тем, что в них используются коммерчески доступные и законные инструменты удаленного рабочего стола, а не Cobalt Strike . Растущая зависимость от таких легитимных инструментов, вероятно, указывает на попытки злоумышленников обойти механизмы обнаружения и оптимизировать свои операции, уменьшая необходимость в разработке и обслуживании специальных инструментов.
Записка о выкупе, которую получат жертвы RansomHub Ransomware, гласит:
'Hello!
Visit our Blog:
Tor Browser Links:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion/Links for normal browser:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion.ly/>>> Your data is stolen and encrypted.
- If you don't pay the ransom, the data will be published on our TOR darknet sites. Keep in mind that once your data appears on our leak site, it could be bought by your competitors at any second, so don't hesitate for a long time. The sooner you pay the ransom, the sooner your company will be safe.
>>> If you have an external or cloud backup; what happens if you don’t agree with us?- All countries have their own PDPL (Personal Data Protection Law) regulations. In the event that you do not agree with us, information pertaining to your companies and the data of your company’s customers will be published on the internet, and the respective country’s personal data usage authority will be informed. Moreover, confidential data related to your company will be shared with potential competitors through email and social media. You can be sure that you will incur damages far exceeding the amount we are requesting from you should you decide not to agree with us.
>>> Don't go to the police or the FBI for help and don't tell anyone that we attacked you.- Seeking their help will only make the situation worse,They will try to prevent you from negotiating with us, because the negotiations will make them look incompetent,After the incident report is handed over to the government department, you will be fined ,The government uses your fine to reward them.And you will not get anything, and except you and your company, the rest of the people will forget what happened!!!!!
>>> How to contact with us?- Install and run 'Tor Browser' from hxxps://www.torproject.org/download/
- Go to hxxp://h6tejafqdkdltp****************seslv6djgiukiii573xtid.onion/
- Log in using the Client ID: -
>>> WARNINGDO NOT MODIFY ENCRYPTED FILES YOURSELF.
DO NOT USE THIRD PARTY SOFTWARE TO RESTORE YOUR DATA.
YOU MAY DAMAGE YOUR FILES, IT WILL RESULT IN PERMANENT DATA LOSS.'
