RansomHub แรนซัมแวร์
นักวิเคราะห์ความปลอดภัยทางไซเบอร์ได้ค้นพบแรนซัมแวร์สายพันธุ์ใหม่ชื่อ RansomHub ตามรายงาน อาชญากรไซเบอร์ที่อยู่เบื้องหลังอ้างว่าพวกเขาจะไม่กำหนดเป้าหมายหน่วยงานในประเทศเครือรัฐเอกราช (CIS) คิวบา เกาหลีเหนือ และจีน แม้จะมีการประกาศนี้ แต่พวกเขาก็แพร่ระบาดไปยังองค์กรสำคัญๆ หลายแห่งภายในระยะเวลาอันสั้น ในบรรดาผู้ที่ตกเป็นเหยื่อ ได้แก่ Change Healthcare, Christie's และ Frontier Communications นักวิจัยเน้นย้ำว่า RansomHub มีความคล้ายคลึงอย่างมีนัยสำคัญกับ Knight Ransomware ซึ่งเป็นการทำซ้ำของแรนซัมแวร์ที่ระบุก่อนหน้านี้ที่เรียกว่า Cyclops
สารบัญ
มีการเสนอขายรหัส Knight Ransomware เพื่อขายให้กับอาชญากรไซเบอร์ทุกคน
Knight Ransomware หรือที่รู้จักกันในชื่อ Cyclops 2.0 เกิดขึ้นในเดือนพฤษภาคม 2566 โดยใช้เทคนิคการขู่กรรโชกสองครั้งเพื่อขโมยและเข้ารหัสข้อมูลของเหยื่อเพื่อหาผลกำไร สามารถทำงานบนแพลตฟอร์มต่าง ๆ รวมถึง Windows, Linux, macOS, ESXi และ Android
ขายในฟอรัมอาชญากรรมไซเบอร์ RAMP การโจมตีด้วยแรนซัมแวร์นี้มักจะอาศัยกลวิธีฟิชชิ่งและฟิชชิ่งแบบหอก โดยใช้ไฟล์แนบที่ฉ้อโกงในการเผยแพร่ การดำเนินการ Ransomware-as-a-Service (RaaS) ยุติลงภายในปลายเดือนกุมภาพันธ์ 2024 โดยมีซอร์สโค้ดถูกวางขาย การเคลื่อนไหวนี้ทำให้เกิดความเป็นไปได้ในการโอนย้ายไปยังนักแสดงหน้าใหม่ ซึ่งอาจอัปเดตและเปิดตัวใหม่ภายใต้ชื่อ RansomHub
การทับซ้อนที่สำคัญระหว่าง RansomHub และ Knight Ransomware
แรนซัมแวร์ทั้งสองสายพันธุ์เขียนด้วยภาษา Go และเวอร์ชันส่วนใหญ่ของแต่ละตระกูลจะถูกสร้างความสับสนด้วย Gobfuscate มีความคล้ายคลึงกันของโค้ดในระดับที่มีนัยสำคัญระหว่างทั้งสอง ซึ่งทำให้ยากที่จะแยกแยะความแตกต่าง
แรนซัมแวร์ทั้งสองตระกูลแชร์เมนูวิธีใช้ที่เหมือนกันบนอินเทอร์เฟซบรรทัดคำสั่ง อย่างไรก็ตาม RansomHub ขอแนะนำตัวเลือก 'สลีป' ใหม่ ซึ่งช่วยให้มันคงสถานะไม่ทำงานตามระยะเวลาที่กำหนด (เป็นนาที) ก่อนที่จะดำเนินการ คำสั่งสลีปที่คล้ายกันนี้พบได้ในภัยคุกคามอื่นๆ เช่น Chaos / Yashma และ Trigona Ransomware
ความคล้ายคลึงกันระหว่าง Knight และ RansomHub ขยายไปถึงเทคนิคการทำให้สับสนที่ใช้ในการเข้ารหัสสตริง เนื้อหาของบันทึกค่าไถ่ที่เหลือหลังจากการเข้ารหัสไฟล์ และความสามารถในการรีบูตโฮสต์ในเซฟโหมดก่อนที่การเข้ารหัสจะเริ่มขึ้น
ความแตกต่างหลักอยู่ที่ชุดคำสั่งที่ดำเนินการผ่าน cmd.exe แม้ว่าลำดับและการดำเนินการที่เกี่ยวข้องกับการดำเนินการอื่นจะยังคงเหมือนเดิม
RansomHub Ransomware อาจดำเนินการโดยอาชญากรไซเบอร์ที่มีประสบการณ์
มีการสังเกตการโจมตีของ RansomHub โดยใช้ช่องโหว่ด้านความปลอดภัยที่ทราบ (เช่น ZeroLogon ) เพื่อเข้าถึงครั้งแรก พวกเขาทิ้งซอฟต์แวร์เดสก์ท็อประยะไกลเช่น Atera และ Splashtop ก่อนที่จะปรับใช้แรนซัมแวร์ ในเดือนเมษายน 2024 เพียงเดือนเมษายน การโจมตีที่ได้รับการยืนยันเกือบ 30 ครั้งเชื่อมโยงกับแรนซัมแวร์สายพันธุ์นี้
นักวิจัยสงสัยว่า RansomHub กำลังมองหาบริษัทในเครือที่ได้รับผลกระทบจากการปิดระบบหรือกลยุทธ์ในการออกจากระบบเมื่อเร็วๆ นี้ เช่นบริษัท LockBit และ BlackCat (หรือที่รู้จักกันในชื่อ ALPHV และ Noberus) เชื่อกันว่าอดีตพันธมิตรของ Noberus ชื่อ Notchy อาจจะกำลังร่วมมือกับ RansomHub อยู่ นอกจากนี้ เครื่องมือที่ก่อนหน้านี้เชื่อมโยงกับ Scattered Spider ซึ่งเป็นบริษัทในเครือ Noberus อื่น ๆ ก็ถูกนำมาใช้ในการโจมตี RansomHub เมื่อเร็วๆ นี้
การขยายตัวอย่างรวดเร็วของการดำเนินงานของ RansomHub ชี้ให้เห็นว่ากลุ่มนี้อาจประกอบด้วยผู้ให้บริการที่มีประสบการณ์และมีความเชื่อมโยงในโลกไซเบอร์ใต้ดิน
การโจมตีของแรนซัมแวร์กำลังเพิ่มขึ้นอีกครั้ง
การพัฒนา RansomHub เกิดขึ้นท่ามกลางกิจกรรมแรนซัมแวร์ที่เพิ่มขึ้นในปี 2566 หลังจากที่ลดลงเล็กน้อยในปี 2565 สิ่งที่น่าสนใจคือ ประมาณหนึ่งในสามของตระกูลแรนซัมแวร์ใหม่ 50 ตระกูลที่ค้นพบในระหว่างปีนั้นเป็นรูปแบบต่างๆ ของตระกูลแรนซัมแวร์ที่ระบุก่อนหน้านี้ แนวโน้มนี้ชี้ให้เห็นถึงความแพร่หลายที่เพิ่มขึ้นของการรีไซเคิลโค้ด การทับซ้อนกันของนักแสดง และกลยุทธ์การรีแบรนด์
การโจมตีเหล่านี้มีความโดดเด่นในการใช้เครื่องมือเดสก์ท็อประยะไกลที่มีวางจำหน่ายทั่วไปและถูกต้องตามกฎหมาย แทนที่จะอาศัย Cobalt Strike การพึ่งพาเครื่องมือที่ถูกต้องตามกฎหมายมากขึ้นมีแนวโน้มบ่งชี้ถึงความพยายามของผู้โจมตีในการหลบเลี่ยงกลไกการตรวจจับและปรับปรุงการปฏิบัติงาน ช่วยลดความจำเป็นในการพัฒนาและบำรุงรักษาเครื่องมือแบบกำหนดเอง
หมายเหตุค่าไถ่ที่เหยื่อของ RansomHub Ransomware จะได้รับการอ่าน:
'Hello!
Visit our Blog:
Tor Browser Links:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion/Links for normal browser:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion.ly/>>> Your data is stolen and encrypted.
- If you don't pay the ransom, the data will be published on our TOR darknet sites. Keep in mind that once your data appears on our leak site, it could be bought by your competitors at any second, so don't hesitate for a long time. The sooner you pay the ransom, the sooner your company will be safe.
>>> If you have an external or cloud backup; what happens if you don’t agree with us?- All countries have their own PDPL (Personal Data Protection Law) regulations. In the event that you do not agree with us, information pertaining to your companies and the data of your company’s customers will be published on the internet, and the respective country’s personal data usage authority will be informed. Moreover, confidential data related to your company will be shared with potential competitors through email and social media. You can be sure that you will incur damages far exceeding the amount we are requesting from you should you decide not to agree with us.
>>> Don't go to the police or the FBI for help and don't tell anyone that we attacked you.- Seeking their help will only make the situation worse,They will try to prevent you from negotiating with us, because the negotiations will make them look incompetent,After the incident report is handed over to the government department, you will be fined ,The government uses your fine to reward them.And you will not get anything, and except you and your company, the rest of the people will forget what happened!!!!!
>>> How to contact with us?- Install and run 'Tor Browser' from hxxps://www.torproject.org/download/
- Go to hxxp://h6tejafqdkdltp****************seslv6djgiukiii573xtid.onion/
- Log in using the Client ID: -
>>> WARNINGDO NOT MODIFY ENCRYPTED FILES YOURSELF.
DO NOT USE THIRD PARTY SOFTWARE TO RESTORE YOUR DATA.
YOU MAY DAMAGE YOUR FILES, IT WILL RESULT IN PERMANENT DATA LOSS.'
