RansomHub Ransomware
Аналитичари за сајбер безбедност открили су нови сој рансомваре-а под називом РансомХуб. Према извештајима, сајбер криминалци који стоје иза тога тврде да неће циљати ентитете у земљама Заједнице независних држава (ЗНД), Куби, Северној Кореји и Кини. Упркос овој декларацији, они су у кратком периоду активно заразили неколико истакнутих организација. Међу њиховим жртвама су Цханге Хеалтхцаре, Цхристие'с и Фронтиер Цоммуницатионс. Посебно, истраживачи истичу да РансомХуб има значајну сличност са Книгхт Рансомваре-ом , који је итерација претходно идентификованог рансомваре-а под називом Цицлопс .
Преглед садржаја
Книгхт Рансомваре код је понуђен на продају свим сајбер криминалцима
Книгхт Рансомваре, такође познат као Цицлопс 2.0, појавио се у мају 2023. године, користећи технике двоструке изнуде за крађу и шифровање података жртава ради зараде. Може да ради на различитим платформама, укључујући Виндовс, Линук, мацОС, ЕСКСи и Андроид.
Продати на форуму о сајбер криминалу РАМП, напади са овим рансомвером често су се ослањали на пхисхинг и спеар-пхисхинг тактике, користећи лажне прилоге за дистрибуцију. Операција Рансомваре-ас-а-Сервице (РааС) је престала до краја фебруара 2024. године, а њен изворни код је стављен на продају. Овај потез је отворио могућност преласка на новог глумца, који га је можда ажурирао и поново покренуо под именом РансомХуб.
Значајна преклапања између РансомХуб-а и Книгхт Рансомваре-а
Оба соја рансомваре-а су написана у Го-у, а већина верзија сваке породице је замагљена помоћу Гобфусцате-а. Постоји значајан степен сличности кода између ова два, па их је тешко разликовати.
Обе породице рансомваре-а деле идентичне меније помоћи на интерфејсу командне линије. Међутим, РансомХуб уводи нову опцију 'спавања', омогућавајући му да остане неактиван одређени период (у минутама) пре извршења. Сличне команде за спавање примећене су у другим претњама као што су Цхаос / Иасхма и Тригона Рансомваре.
Сличности између Книгхт-а и РансомХуб-а проширују се на технике замамљивања које се користе за кодирање стрингова, садржај белешки о откупнини преосталих након шифровања датотека и њихову способност да поново покрену хост у безбедном режиму пре него што шифровање започне.
Примарна разлика лежи у скупу команди које се извршавају преко цмд.еке, иако њихов редослед и извршење у односу на друге операције остају исти.
РансомХуб Рансомваре-ом могу да управљају ветерани сајбер-криминалци
Примећени су напади РансомХуб-а који искоришћавају познате безбедносне пропусте (као што је ЗероЛогон ) за добијање почетног приступа. Они испуштају софтвер за удаљену радну површину као што су Атера и Спласхтоп пре него што уведу рансомваре. Само у априлу 2024. скоро 30 потврђених напада повезано је са овом врстом рансомвера.
Истраживачи сумњају да РансомХуб активно тражи подружнице погођене недавним гашењем или тактикама изласка, попут оних ЛоцкБит-а и БлацкЦат-а (познатих и као АЛПХВ и Ноберус). Верује се да би бивша Ноберусова филијала под називом Нотцхи сада могла да сарађује са РансомХуб-ом. Поред тога, алати који су претходно били повезани са другом Ноберус филијалом, Сцаттеред Спидер, коришћени су у недавном нападу РансомХуб-а.
Брзо ширење операција РансомХуб-а сугерише да група може да се састоји од искусних оператера са искуством и везама у сајбер подземљу.
Напади рансомваре-а су поново у порасту
Развој РансомХуб-а долази усред пораста активности рансомвера у 2023., након благог смањења у 2022. Занимљиво је да су око трећина од 50 нових породица рансомвера откривених током године варијације претходно идентификованих. Овај тренд указује на све већу заступљеност рециклирања кода, преклапања актера и стратегија ребрендирања.
Ови напади су значајни по томе што користе комерцијално доступне и легитимне алате за удаљену радну површину, а не ослањају се на Цобалт Стрике . Све веће ослањање на такве легитимне алате вероватно указује на напоре нападача да избегну механизме откривања и поједноставе своје операције, смањујући потребу за развојем и одржавањем прилагођених алата.
Обавештење о откупнини коју ће жртве РансомХуб Рансомваре-а добити гласи:
'Hello!
Visit our Blog:
Tor Browser Links:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion/Links for normal browser:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion.ly/>>> Your data is stolen and encrypted.
- If you don't pay the ransom, the data will be published on our TOR darknet sites. Keep in mind that once your data appears on our leak site, it could be bought by your competitors at any second, so don't hesitate for a long time. The sooner you pay the ransom, the sooner your company will be safe.
>>> If you have an external or cloud backup; what happens if you don’t agree with us?- All countries have their own PDPL (Personal Data Protection Law) regulations. In the event that you do not agree with us, information pertaining to your companies and the data of your company’s customers will be published on the internet, and the respective country’s personal data usage authority will be informed. Moreover, confidential data related to your company will be shared with potential competitors through email and social media. You can be sure that you will incur damages far exceeding the amount we are requesting from you should you decide not to agree with us.
>>> Don't go to the police or the FBI for help and don't tell anyone that we attacked you.- Seeking their help will only make the situation worse,They will try to prevent you from negotiating with us, because the negotiations will make them look incompetent,After the incident report is handed over to the government department, you will be fined ,The government uses your fine to reward them.And you will not get anything, and except you and your company, the rest of the people will forget what happened!!!!!
>>> How to contact with us?- Install and run 'Tor Browser' from hxxps://www.torproject.org/download/
- Go to hxxp://h6tejafqdkdltp****************seslv6djgiukiii573xtid.onion/
- Log in using the Client ID: -
>>> WARNINGDO NOT MODIFY ENCRYPTED FILES YOURSELF.
DO NOT USE THIRD PARTY SOFTWARE TO RESTORE YOUR DATA.
YOU MAY DAMAGE YOUR FILES, IT WILL RESULT IN PERMANENT DATA LOSS.'
