RansomHub Ransomware
Analytici kybernetickej bezpečnosti odhalili nový kmeň ransomvéru s názvom RansomHub. Podľa správ kyberzločinci, ktorí za tým stoja, tvrdia, že sa nezameriavajú na subjekty v krajinách Spoločenstva nezávislých štátov (SNŠ), na Kube, v Severnej Kórei a Číne. Napriek tomuto vyhláseniu aktívne infikovali niekoľko významných organizácií v krátkom čase. Medzi ich obeťami sú Change Healthcare, Christie's a Frontier Communications. Výskumníci zdôrazňujú, že RansomHub má významnú podobnosť s Knight Ransomware , čo je iterácia predtým identifikovaného ransomvéru s názvom Cyclops .
Obsah
Kód Knight Ransomware bol ponúknutý na predaj všetkým kyberzločincom
Knight Ransomware, tiež známy ako Cyclops 2.0, sa objavil v máji 2023 a využíva techniky dvojitého vydierania na odcudzenie a šifrovanie údajov obetí za účelom zisku. Je schopný fungovať na rôznych platformách vrátane Windows, Linux, macOS, ESXi a Android.
Útoky s týmto ransomvérom, predávané na fóre RAMP cybercrime, sa často spoliehali na taktiku phishingu a spear-phishingu, pričom na distribúciu používali podvodné prílohy. Operácia Ransomware-as-a-Service (RaaS) bola ukončená koncom februára 2024 a jej zdrojový kód bol ponúknutý na predaj. Tento krok zvýšil možnosť prestupu k novému hercovi, ktorý ho mohol aktualizovať a znovu spustiť pod názvom RansomHub.
Významné presahy medzi RansomHub a Knight Ransomware
Oba ransomvérové kmene sú napísané v Go a väčšina verzií každej rodiny je zahalená Gobfuscate. Medzi týmito dvoma kódmi je značný stupeň podobnosti, takže je náročné ich rozlíšiť.
Obe rodiny ransomvéru zdieľajú identické ponuky pomoci v rozhraní príkazového riadka. RansomHub však predstavuje novú možnosť „spánku“, ktorá mu umožňuje zostať neaktívny po určitú dobu (v minútach) pred spustením. Podobné príkazy spánku boli pozorované pri iných hrozbách, ako sú Chaos / Yashma a Trigona Ransomware.
Podobnosti medzi Knight a RansomHub sa rozširujú na techniky zahmlievania používané na kódovanie reťazcov, obsah poznámok o výkupnom, ktoré zostali po zašifrovaní súborov, a ich schopnosť reštartovať hostiteľa do bezpečného režimu pred začiatkom šifrovania.
Primárny rozdiel spočíva v množine príkazov vykonávaných cez cmd.exe, aj keď ich postupnosť a vykonávanie vzhľadom na ostatné operácie zostávajú rovnaké.
Ransomware RansomHub môžu prevádzkovať skúsení kyberzločinci
Útoky RansomHub boli pozorované pri využívaní známych bezpečnostných zraniteľností (napríklad ZeroLogon ) na získanie počiatočného prístupu. Pred nasadením ransomvéru vypustia softvér pre vzdialenú plochu, ako je Atera a Splashtop. Len v apríli 2024 bolo s týmto kmeňom ransomvéru spojených takmer 30 potvrdených útokov.
Výskumníci majú podozrenie, že RansomHub aktívne hľadá pridružených spoločností ovplyvnených nedávnymi odstávkami alebo taktikou odchodu, ako sú napríklad LockBit a BlackCat (tiež známe ako ALPHV a Noberus). Predpokladá sa, že s RansomHub by teraz mohla spolupracovať bývalá pridružená spoločnosť Noberus s názvom Notchy. Okrem toho boli pri nedávnom útoku RansomHub použité nástroje, ktoré boli predtým spojené s inou pridruženou spoločnosťou Noberus, Scattered Spider.
Rýchla expanzia operácií RansomHub naznačuje, že skupina môže zahŕňať skúsených operátorov so skúsenosťami a prepojeniami v kybernetickom podzemí.
Ransomvérové útoky sú opäť na vzostupe
Vývoj RansomHub prichádza uprostred nárastu aktivity ransomvéru v roku 2023, po miernom poklese v roku 2022. Je zaujímavé, že asi tretina z 50 nových rodín ransomvéru objavených počas roka sú variáciami predtým identifikovaných rodín. Tento trend naznačuje rastúcu prevalenciu recyklácie kódu, prekrývania aktérov a stratégií rebrandingu.
Tieto útoky sú pozoruhodné tým, že používajú komerčne dostupné a legitímne nástroje vzdialenej pracovnej plochy namiesto spoliehania sa na Cobalt Strike . Rastúce spoliehanie sa na takéto legitímne nástroje pravdepodobne naznačuje snahu útočníkov vyhnúť sa detekčným mechanizmom a zefektívniť svoje operácie, čím sa zníži potreba vývoja a údržby vlastných nástrojov.
Výkupné, ktoré obete RansomHub Ransomware dostanú, znie:
'Hello!
Visit our Blog:
Tor Browser Links:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion/Links for normal browser:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion.ly/>>> Your data is stolen and encrypted.
- If you don't pay the ransom, the data will be published on our TOR darknet sites. Keep in mind that once your data appears on our leak site, it could be bought by your competitors at any second, so don't hesitate for a long time. The sooner you pay the ransom, the sooner your company will be safe.
>>> If you have an external or cloud backup; what happens if you don’t agree with us?- All countries have their own PDPL (Personal Data Protection Law) regulations. In the event that you do not agree with us, information pertaining to your companies and the data of your company’s customers will be published on the internet, and the respective country’s personal data usage authority will be informed. Moreover, confidential data related to your company will be shared with potential competitors through email and social media. You can be sure that you will incur damages far exceeding the amount we are requesting from you should you decide not to agree with us.
>>> Don't go to the police or the FBI for help and don't tell anyone that we attacked you.- Seeking their help will only make the situation worse,They will try to prevent you from negotiating with us, because the negotiations will make them look incompetent,After the incident report is handed over to the government department, you will be fined ,The government uses your fine to reward them.And you will not get anything, and except you and your company, the rest of the people will forget what happened!!!!!
>>> How to contact with us?- Install and run 'Tor Browser' from hxxps://www.torproject.org/download/
- Go to hxxp://h6tejafqdkdltp****************seslv6djgiukiii573xtid.onion/
- Log in using the Client ID: -
>>> WARNINGDO NOT MODIFY ENCRYPTED FILES YOURSELF.
DO NOT USE THIRD PARTY SOFTWARE TO RESTORE YOUR DATA.
YOU MAY DAMAGE YOUR FILES, IT WILL RESULT IN PERMANENT DATA LOSS.'
