Multi-License Discount Quote
Baza e të dhënave të kërcënimeve Ransomware RansomHub Ransomware

RansomHub Ransomware

Nga MezoRansomware
Përkthe në:
Shqip

Analistët e sigurisë kibernetike kanë zbuluar një lloj të ri ransomware të quajtur RansomHub. Sipas raporteve, kriminelët kibernetikë që qëndrojnë pas tij pretendojnë se nuk do të synojnë entitete në vendet e Komonuelthit të Shteteve të Pavarura (CIS), Kubë, Korenë e Veriut dhe Kinë. Pavarësisht kësaj deklarate, ata kanë infektuar në mënyrë aktive disa organizata të njohura brenda një periudhe të shkurtër. Ndër viktimat e tyre janë Change Healthcare, Christie's dhe Frontier Communications. Veçanërisht, studiuesit theksojnë se RansomHub ka një ngjashmëri të konsiderueshme me Knight Ransomware , i cili është një përsëritje e ransomware-it të identifikuar më parë të quajtur Cyclops .

Kodi i Knight Ransomware u ofrua për shitje për të gjithë kriminelët kibernetikë

Knight Ransomware, i njohur gjithashtu si Cyclops 2.0, u shfaq në maj 2023, duke përdorur teknika të zhvatjes së dyfishtë për të vjedhur dhe enkriptuar të dhënat e viktimave për përfitime. Është i aftë të funksionojë në platforma të ndryshme, duke përfshirë Windows, Linux, macOS, ESXi dhe Android.

Të shitura në forumin e krimit kibernetik RAMP, sulmet me këtë ransomware shpesh mbështeteshin në taktikat e phishing dhe spear-phishing, duke përdorur bashkëngjitje mashtruese për shpërndarje. Operacioni Ransomware-as-a-a-Service (RaaS) u ndërpre në fund të shkurtit 2024, me kodin e tij burimor të vënë në shitje. Kjo lëvizje ngriti mundësinë e një transferimi te një aktor i ri, i cili mund ta ketë përditësuar dhe rifilluar atë me emrin RansomHub.

Mbivendosje të rëndësishme midis RansomHub dhe Knight Ransomware

Të dy llojet e ransomware janë shkruar në Go, dhe shumica e versioneve të secilës familje janë të turbulluara me Gobfuscate. Ekziston një shkallë e konsiderueshme e ngjashmërisë së kodit midis të dyve, duke e bërë të vështirë dallimin e tyre.

Të dy familjet e ransomware ndajnë menutë identike të ndihmës në ndërfaqen e linjës së komandës. Megjithatë, RansomHub prezanton një opsion të ri 'gjumë', duke e lejuar atë të mbetet joaktiv për një periudhë të caktuar (në minuta) përpara se të ekzekutohet. Komanda të ngjashme të gjumit janë vërejtur në kërcënime të tjera si Chaos / Yashma dhe Trigona Ransomware.

Ngjashmëritë midis Knight dhe RansomHub shtrihen në teknikat e turbullimit të përdorura për kodimin e vargjeve, përmbajtjen e shënimeve të shpërblesës të mbetura pas enkriptimit të skedarëve dhe aftësinë e tyre për të rindezur një host në modalitetin e sigurt përpara se të fillojë enkriptimi.

Dallimi kryesor qëndron në grupin e komandave të ekzekutuara përmes cmd.exe, megjithëse sekuenca dhe ekzekutimi i tyre në lidhje me operacionet e tjera mbeten të njëjta.

Ransomware RansomHub mund të operohet nga kriminelët kibernetikë veteranë

Sulmet e RansomHub janë vërejtur duke shfrytëzuar dobësitë e njohura të sigurisë (siç është ZeroLogon ) për të fituar akses fillestar. Ata heqin softuerin e desktopit në distancë si Atera dhe Splashtop përpara se të vendosin ransomware. Vetëm në prill 2024, gati 30 sulme të konfirmuara janë lidhur me këtë lloj ransomware.

Studiuesit dyshojnë se RansomHub po kërkon në mënyrë aktive bashkëpunëtorë të prekur nga mbylljet e fundit ose taktikat e daljes, si ato të LockBit dhe BlackCat (të njohura edhe si ALPHV dhe Noberus). Besohet se një ish filial i Noberus i quajtur Notchy tani mund të jetë duke bashkëpunuar me RansomHub. Për më tepër, mjetet e lidhura më parë me një filial tjetër të Noberus, Scattered Spider, u përdorën në një sulm të fundit të RansomHub.

Zgjerimi i shpejtë i operacioneve të RansomHub sugjeron se grupi mund të përbëhet nga operatorë me përvojë me përvojë dhe lidhje në nëntokën kibernetike.

Sulmet e Ransomware janë përsëri në rritje

Zhvillimi i RansomHub vjen mes një rritjeje të aktivitetit të ransomware-ve në vitin 2023, pas një rënie të lehtë në 2022. Është interesante se rreth një e treta e 50 familjeve të reja të ransomware-ve të zbuluara gjatë vitit janë variacione të atyre të identifikuara më parë. Ky trend sugjeron një përhapje në rritje të riciklimit të kodeve, mbivendosjeve të aktorëve dhe strategjive të riemërtimit.

Këto sulme janë të dukshme për përdorimin e tyre të mjeteve të disponueshme komerciale dhe legjitime të desktopit në distancë në vend që të mbështeten në Cobalt Strike . Mbështetja në rritje në mjete të tilla legjitime ka të ngjarë të tregojë përpjekjet e sulmuesve për të shmangur mekanizmat e zbulimit dhe për të përmirësuar operacionet e tyre, duke reduktuar nevojën për zhvillimin dhe mirëmbajtjen e mjeteve të personalizuara.

Shënimi i shpërblesës që do të marrin viktimat e RansomHub Ransomware thotë:

'Hello!

Visit our Blog:

Tor Browser Links:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion/

Links for normal browser:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion.ly/

>>> Your data is stolen and encrypted.

- If you don't pay the ransom, the data will be published on our TOR darknet sites. Keep in mind that once your data appears on our leak site, it could be bought by your competitors at any second, so don't hesitate for a long time. The sooner you pay the ransom, the sooner your company will be safe.


>>> If you have an external or cloud backup; what happens if you don’t agree with us?

- All countries have their own PDPL (Personal Data Protection Law) regulations. In the event that you do not agree with us, information pertaining to your companies and the data of your company’s customers will be published on the internet, and the respective country’s personal data usage authority will be informed. Moreover, confidential data related to your company will be shared with potential competitors through email and social media. You can be sure that you will incur damages far exceeding the amount we are requesting from you should you decide not to agree with us.


>>> Don't go to the police or the FBI for help and don't tell anyone that we attacked you.

- Seeking their help will only make the situation worse,They will try to prevent you from negotiating with us, because the negotiations will make them look incompetent,After the incident report is handed over to the government department, you will be fined ,The government uses your fine to reward them.And you will not get anything, and except you and your company, the rest of the people will forget what happened!!!!!


>>> How to contact with us?

- Install and run 'Tor Browser' from hxxps://www.torproject.org/download/
- Go to hxxp://h6tejafqdkdltp****************seslv6djgiukiii573xtid.onion/
- Log in using the Client ID: -


>>> WARNING

DO NOT MODIFY ENCRYPTED FILES YOURSELF.
DO NOT USE THIRD PARTY SOFTWARE TO RESTORE YOUR DATA.
YOU MAY DAMAGE YOUR FILES, IT WILL RESULT IN PERMANENT DATA LOSS.'

Në trend

Më e shikuara

Po ngarkohet...