RansomHub Ransomware
Cybersäkerhetsanalytiker har upptäckt en ny ransomware-stam vid namn RansomHub. Enligt rapporter hävdar cyberbrottslingarna bakom att de inte kommer att rikta in sig på enheter i Samväldet av oberoende stater (CIS), Kuba, Nordkorea och Kina. Trots detta uttalande har de aktivt infekterat flera framstående organisationer inom ett kort intervall. Bland deras offer finns Change Healthcare, Christie's och Frontier Communications. Noterbart framhåller forskare att RansomHub har en betydande likhet med Knight Ransomware , som är en iteration av den tidigare identifierade ransomware som kallas Cyclops .
Innehållsförteckning
Knight Ransomware-koden erbjöds till försäljning till alla cyberkriminella
Knight Ransomware, även känd som Cyclops 2.0, dök upp i maj 2023, med dubbla utpressningstekniker för att stjäla och kryptera offers data i vinstsyfte. Den kan fungera på olika plattformar, inklusive Windows, Linux, macOS, ESXi och Android.
Såld på RAMP cybercrime forum, attacker med denna ransomware förlitade sig ofta på nätfiske och spear-phishing-taktik, med hjälp av bedrägliga bilagor för distribution. Ransomware-as-a-Service (RaaS)-verksamheten upphörde i slutet av februari 2024, och dess källkod lades ut till försäljning. Detta drag ökade möjligheten till en överföring till en ny skådespelare, som kan ha uppdaterat och återlanserat den under namnet RansomHub.
Betydande överlappningar mellan RansomHub och Knight Ransomware
Båda ransomware-stammarna är skrivna i Go, och de flesta versioner av varje familj är obfuscerade med Gobfuscate. Det finns en betydande grad av kodlikhet mellan de två, vilket gör det svårt att skilja dem åt.
Båda ransomware-familjerna delar identiska hjälpmenyer på kommandoradsgränssnittet. RansomHub introducerar dock ett nytt "sleep"-alternativ, vilket gör att det kan förbli inaktivt under en angiven period (i minuter) innan den körs. Liknande sömnkommandon har observerats i andra hot som Chaos / Yashma och Trigona Ransomware.
Likheterna mellan Knight och RansomHub sträcker sig till obfuskeringsteknikerna som används för att koda strängar, innehållet i lösensedlar som lämnas efter kryptering av filer och deras förmåga att starta om en värd i säkert läge innan kryptering börjar.
Den primära skillnaden ligger i uppsättningen av kommandon som körs via cmd.exe, även om deras sekvens och exekvering i förhållande till andra operationer förblir desamma.
RansomHub Ransomware kan drivas av veteran cyberkriminella
RansomHub-attacker har observerats som utnyttjar kända säkerhetsbrister (som ZeroLogon ) för att få första åtkomst. De släpper fjärrskrivbordsprogram som Atera och Splashtop innan de distribuerar ransomware. Bara under april 2024 har nästan 30 bekräftade attacker kopplats till denna ransomware-stam.
Forskare misstänker att RansomHub aktivt söker affiliates som påverkats av de senaste nedläggningarna eller exit-taktik, som LockBit och BlackCat (även känd som ALPHV och Noberus). Man tror att en tidigare Noberus-filial som heter Notchy nu kanske samarbetar med RansomHub. Dessutom användes verktyg som tidigare associerats med ett annat Noberus-affiliat, Scattered Spider, i en nyligen genomförd RansomHub-attack.
Den snabba expansionen av RansomHubs verksamhet tyder på att gruppen kan bestå av erfarna operatörer med erfarenhet och kopplingar inom cyberunderground.
Ransomware-attacker ökar igen
RansomHub-utvecklingen kommer mitt i en ökning av ransomware-aktiviteten 2023, efter en liten minskning 2022. Intressant nog är ungefär en tredjedel av de 50 nya ransomware-familjerna som upptäckts under året varianter av tidigare identifierade. Denna trend tyder på en växande förekomst av kodåtervinning, aktörsöverlappningar och strategier för omprofilering.
Dessa attacker är kända för deras användning av kommersiellt tillgängliga och legitima fjärrskrivbordsverktyg snarare än att förlita sig på Cobalt Strike . Det ökande beroendet av sådana legitima verktyg tyder sannolikt på angripares ansträngningar att undvika upptäcktsmekanismer och effektivisera deras verksamhet, vilket minskar behovet av att utveckla och underhålla anpassade verktyg.
Lösenanteckningen som offer för RansomHub Ransomware kommer att få lyder:
'Hello!
Visit our Blog:
Tor Browser Links:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion/Links for normal browser:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion.ly/>>> Your data is stolen and encrypted.
- If you don't pay the ransom, the data will be published on our TOR darknet sites. Keep in mind that once your data appears on our leak site, it could be bought by your competitors at any second, so don't hesitate for a long time. The sooner you pay the ransom, the sooner your company will be safe.
>>> If you have an external or cloud backup; what happens if you don’t agree with us?- All countries have their own PDPL (Personal Data Protection Law) regulations. In the event that you do not agree with us, information pertaining to your companies and the data of your company’s customers will be published on the internet, and the respective country’s personal data usage authority will be informed. Moreover, confidential data related to your company will be shared with potential competitors through email and social media. You can be sure that you will incur damages far exceeding the amount we are requesting from you should you decide not to agree with us.
>>> Don't go to the police or the FBI for help and don't tell anyone that we attacked you.- Seeking their help will only make the situation worse,They will try to prevent you from negotiating with us, because the negotiations will make them look incompetent,After the incident report is handed over to the government department, you will be fined ,The government uses your fine to reward them.And you will not get anything, and except you and your company, the rest of the people will forget what happened!!!!!
>>> How to contact with us?- Install and run 'Tor Browser' from hxxps://www.torproject.org/download/
- Go to hxxp://h6tejafqdkdltp****************seslv6djgiukiii573xtid.onion/
- Log in using the Client ID: -
>>> WARNINGDO NOT MODIFY ENCRYPTED FILES YOURSELF.
DO NOT USE THIRD PARTY SOFTWARE TO RESTORE YOUR DATA.
YOU MAY DAMAGE YOUR FILES, IT WILL RESULT IN PERMANENT DATA LOSS.'
