RansomHub Ransomware
Analitiki kibernetske varnosti so odkrili novo različico izsiljevalske programske opreme, imenovano RansomHub. Glede na poročila kibernetski kriminalci, ki stojijo za tem, trdijo, da ne bodo ciljali na subjekte v državah Skupnosti neodvisnih držav (CIS), Kubi, Severni Koreji in Kitajskem. Kljub tej izjavi so v kratkem času aktivno okužili več uglednih organizacij. Med njihovimi žrtvami so Change Healthcare, Christie's in Frontier Communications. Predvsem raziskovalci poudarjajo, da je RansomHub precej podoben Knight Ransomware , ki je ponovitev predhodno identificirane izsiljevalske programske opreme, imenovane Cyclops .
Kazalo
Koda Knight Ransomware je bila ponujena v prodajo vsem spletnim kriminalcem
Knight Ransomware, znan tudi kot Cyclops 2.0, se je pojavil maja 2023 in uporablja tehnike dvojnega izsiljevanja za krajo in šifriranje podatkov žrtev za dobiček. Sposoben je delovati na različnih platformah, vključno z Windows, Linux, macOS, ESXi in Android.
Napadi s to izsiljevalsko programsko opremo, ki se prodajajo na forumu o kibernetskem kriminalu RAMP, so se pogosto zanašali na taktike lažnega predstavljanja in lažnega predstavljanja ter za distribucijo uporabljali lažne priloge. Operacija Ransomware-as-a-Service (RaaS) se je ustavila do konca februarja 2024, njena izvorna koda pa je bila dana v prodajo. Ta poteza je povečala možnost prenosa na novega akterja, ki ga je morda posodobil in znova zagnal pod imenom RansomHub.
Pomembna prekrivanja med RansomHub in Knight Ransomware
Oba seva izsiljevalske programske opreme sta napisana v Go in večina različic vsake družine je zakrita z Gobfuscate. Med obema je precejšnja stopnja podobnosti kode, zaradi česar ju je težko razlikovati.
Obe družini izsiljevalske programske opreme si delita enake menije pomoči v vmesniku ukazne vrstice. Vendar pa RansomHub uvaja novo možnost 'mirovanja', ki mu omogoča, da ostane neaktiven določeno obdobje (v minutah), preden se izvrši. Podobne ukaze za spanje so opazili pri drugih grožnjah, kot sta Chaos / Yashma in izsiljevalska programska oprema Trigona .
Podobnosti med Knightom in RansomHubom segajo do tehnik zamegljevanja, ki se uporabljajo za kodiranje nizov, vsebine opomb o odkupnini, ki ostanejo po šifriranju datotek, in njune zmožnosti ponovnega zagona gostitelja v varnem načinu, preden se začne šifriranje.
Glavna razlika je v nizu ukazov, ki se izvajajo prek cmd.exe, čeprav njihovo zaporedje in izvajanje glede na druge operacije ostaja enako.
Izsiljevalsko programsko opremo RansomHub morda upravljajo kibernetski kriminalci veterani
Opaženi so bili napadi RansomHub, ki izkoriščajo znane varnostne ranljivosti (kot je ZeroLogon ) za pridobitev začetnega dostopa. Pred namestitvijo izsiljevalske programske opreme opustijo programsko opremo za oddaljeno namizje, kot sta Atera in Splashtop. Samo aprila 2024 je bilo skoraj 30 potrjenih napadov povezanih s tem sevom izsiljevalske programske opreme.
Raziskovalci sumijo, da RansomHub aktivno išče podružnice, ki so jih prizadele nedavne zaustavitve ali taktike izstopa, kot sta LockBit in BlackCat (znana tudi kot ALPHV in Noberus). Domneva se, da nekdanja podružnica Noberusa, imenovana Notchy, zdaj morda sodeluje z RansomHub. Poleg tega so bila v nedavnem napadu na RansomHub uporabljena orodja, ki so bila prej povezana z drugo podružnico Noberusa, Scattered Spider.
Hitra širitev dejavnosti RansomHub nakazuje, da skupino morda sestavljajo izkušeni operaterji z izkušnjami in povezavami v kibernetskem podzemlju.
Napadi izsiljevalske programske opreme so spet v porastu
Razvoj RansomHub prihaja sredi povečanja aktivnosti izsiljevalske programske opreme v letu 2023, po rahlem zmanjšanju v letu 2022. Zanimivo je, da je približno tretjina od 50 novih družin izsiljevalske programske opreme, odkritih med letom, različica predhodno identificiranih. Ta trend nakazuje vse večjo razširjenost recikliranja kode, prekrivanja akterjev in strategij preoblikovanja blagovne znamke.
Ti napadi so znani po uporabi komercialno dostopnih in zakonitih orodij za oddaljeno namizje, namesto da bi se zanašali na Cobalt Strike . Vse večje zanašanje na takšna zakonita orodja verjetno kaže na prizadevanja napadalcev, da bi se izognili mehanizmom za odkrivanje in racionalizirali svoje delovanje, kar zmanjšuje potrebo po razvoju in vzdrževanju orodij po meri.
Obvestilo o odkupnini, ki ga bodo prejele žrtve izsiljevalske programske opreme RansomHub, se glasi:
'Hello!
Visit our Blog:
Tor Browser Links:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion/Links for normal browser:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion.ly/>>> Your data is stolen and encrypted.
- If you don't pay the ransom, the data will be published on our TOR darknet sites. Keep in mind that once your data appears on our leak site, it could be bought by your competitors at any second, so don't hesitate for a long time. The sooner you pay the ransom, the sooner your company will be safe.
>>> If you have an external or cloud backup; what happens if you don’t agree with us?- All countries have their own PDPL (Personal Data Protection Law) regulations. In the event that you do not agree with us, information pertaining to your companies and the data of your company’s customers will be published on the internet, and the respective country’s personal data usage authority will be informed. Moreover, confidential data related to your company will be shared with potential competitors through email and social media. You can be sure that you will incur damages far exceeding the amount we are requesting from you should you decide not to agree with us.
>>> Don't go to the police or the FBI for help and don't tell anyone that we attacked you.- Seeking their help will only make the situation worse,They will try to prevent you from negotiating with us, because the negotiations will make them look incompetent,After the incident report is handed over to the government department, you will be fined ,The government uses your fine to reward them.And you will not get anything, and except you and your company, the rest of the people will forget what happened!!!!!
>>> How to contact with us?- Install and run 'Tor Browser' from hxxps://www.torproject.org/download/
- Go to hxxp://h6tejafqdkdltp****************seslv6djgiukiii573xtid.onion/
- Log in using the Client ID: -
>>> WARNINGDO NOT MODIFY ENCRYPTED FILES YOURSELF.
DO NOT USE THIRD PARTY SOFTWARE TO RESTORE YOUR DATA.
YOU MAY DAMAGE YOUR FILES, IT WILL RESULT IN PERMANENT DATA LOSS.'
