RansomHub Ransomware

Natuklasan ng mga analyst ng cybersecurity ang isang bagong strain ng ransomware na pinangalanang RansomHub. Ayon sa mga ulat, sinasabi ng mga cybercriminal na nasa likod nito na hindi nila ita-target ang mga entity sa mga bansang Commonwealth of Independent States (CIS), Cuba, North Korea at China. Sa kabila ng deklarasyon na ito, aktibong nahawahan nila ang ilang kilalang organisasyon sa loob ng maikling panahon. Kabilang sa kanilang mga biktima ay ang Change Healthcare, Christie's, at Frontier Communications. Kapansin-pansin, itinatampok ng mga mananaliksik na ang RansomHub ay may malaking pagkakahawig sa Knight Ransomware , na isang pag-ulit ng dating natukoy na ransomware na tinatawag na Cyclops .

Ang Knight Ransomware Code ay Inaalok para sa Pagbebenta sa Lahat ng Cybercriminals

Ang Knight Ransomware, na kilala rin bilang Cyclops 2.0, ay lumitaw noong Mayo 2023, na gumagamit ng dobleng mga diskarte sa pangingikil upang magnakaw at i-encrypt ang data ng mga biktima para kumita. Ito ay may kakayahang gumana sa iba't ibang mga platform, kabilang ang Windows, Linux, macOS, ESXi at Android.

Nabenta sa RAMP cybercrime forum, ang mga pag-atake gamit ang ransomware na ito ay kadalasang umaasa sa mga taktika ng phishing at spear-phishing, gamit ang mga mapanlinlang na attachment para sa pamamahagi. Ang Ransomware-as-a-Service (RaaS) na operasyon ay huminto noong huling bahagi ng Pebrero 2024, kasama ang source code nito na inilagay para ibenta. Itinaas ng hakbang na ito ang posibilidad ng paglipat sa isang bagong aktor, na maaaring nag-update at muling naglunsad nito sa ilalim ng pangalang RansomHub.

Mahahalagang Pagpapatong sa pagitan ng RansomHub at ng Knight Ransomware

Ang parehong mga strain ng ransomware ay nakasulat sa Go, at karamihan sa mga bersyon ng bawat pamilya ay na-obfuscate sa Gobfuscate. Mayroong isang makabuluhang antas ng pagkakatulad ng code sa pagitan ng dalawa, na ginagawang mahirap na makilala ang mga ito.

Ang parehong mga pamilya ng ransomware ay nagbabahagi ng magkatulad na menu ng tulong sa interface ng command-line. Gayunpaman, ipinakilala ng RansomHub ang isang bagong opsyon na 'sleep', na nagpapahintulot dito na manatiling hindi aktibo para sa isang tinukoy na panahon (sa ilang minuto) bago isagawa. Ang mga katulad na utos sa pagtulog ay naobserbahan sa iba pang mga banta tulad ng Chaos / Yashma at ang Trigona Ransomware.

Ang mga pagkakatulad sa pagitan ng Knight at RansomHub ay umaabot sa mga diskarte sa obfuscation na ginagamit para sa pag-encode ng mga string, ang nilalaman ng ransom notes na natitira pagkatapos mag-encrypt ng mga file, at ang kanilang kakayahang i-reboot ang isang host sa safe mode bago magsimula ang pag-encrypt.

Ang pangunahing pagkakaiba ay nakasalalay sa hanay ng mga utos na isinagawa sa pamamagitan ng cmd.exe, bagaman ang kanilang pagkakasunud-sunod at pagpapatupad na may kaugnayan sa iba pang mga operasyon ay nananatiling pareho.

Ang RansomHub Ransomware ay maaaring Pinapatakbo ng mga Beteranong Cybercriminal

Naobserbahan ang mga pag-atake ng RansomHub na nagsasamantala sa mga kilalang kahinaan sa seguridad (tulad ng ZeroLogon ) upang makakuha ng paunang pag-access. Nag-drop sila ng malayuang desktop software tulad ng Atera at Splashtop bago mag-deploy ng ransomware. Noong Abril 2024 lamang, halos 30 kumpirmadong pag-atake ang na-link sa ransomware strain na ito.

Pinaghihinalaan ng mga mananaliksik na ang RansomHub ay aktibong naghahanap ng mga kaakibat na apektado ng kamakailang pagsasara o mga taktika sa paglabas, tulad ng sa LockBit at BlackCat (kilala rin bilang ALPHV at Noberus). Ito ay pinaniniwalaan na ang isang dating affiliate ng Noberus na tinatawag na Notchy ay maaaring nakikipagtulungan na ngayon sa RansomHub. Bukod pa rito, ang mga tool na dating nauugnay sa isa pang affiliate ng Noberus, ang Scattered Spider, ay ginamit sa isang kamakailang pag-atake ng RansomHub.

Ang mabilis na pagpapalawak ng mga operasyon ng RansomHub ay nagmumungkahi na ang grupo ay maaaring binubuo ng mga batikang operator na may karanasan at mga koneksyon sa cyber underground.

Ang Mga Pag-atake ng Ransomware ay Muling Tumataas

Ang pag-unlad ng RansomHub ay nagmumula sa gitna ng pagtaas ng aktibidad ng ransomware noong 2023, kasunod ng bahagyang pagbaba noong 2022. Kapansin-pansin, humigit-kumulang isang-katlo ng 50 bagong pamilya ng ransomware na natuklasan sa taon ay mga pagkakaiba-iba ng mga dati nang natukoy. Ang trend na ito ay nagmumungkahi ng lumalaking pagkalat ng code recycling, mga aktor na nagsasapawan, at mga diskarte sa rebranding.

Ang mga pag-atake na ito ay kapansin-pansin sa kanilang paggamit ng mga magagamit na pangkomersyo at mga lehitimong remote na tool sa desktop sa halip na umasa sa Cobalt Strike . Ang pagtaas ng pag-asa sa naturang mga lehitimong tool ay malamang na nagpapahiwatig ng mga pagsisikap ng mga umaatake na iwasan ang mga mekanismo ng pagtuklas at i-streamline ang kanilang mga operasyon, na binabawasan ang pangangailangan para sa pagbuo at pagpapanatili ng mga custom na tool.

Ang ransom note na matatanggap ng mga biktima ng RansomHub Ransomware ay ganito:

'Hello!

Visit our Blog:

Tor Browser Links:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion/

Links for normal browser:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion.ly/

>>> Your data is stolen and encrypted.

- If you don't pay the ransom, the data will be published on our TOR darknet sites. Keep in mind that once your data appears on our leak site, it could be bought by your competitors at any second, so don't hesitate for a long time. The sooner you pay the ransom, the sooner your company will be safe.

>>> If you have an external or cloud backup; what happens if you don’t agree with us?

- All countries have their own PDPL (Personal Data Protection Law) regulations. In the event that you do not agree with us, information pertaining to your companies and the data of your company’s customers will be published on the internet, and the respective country’s personal data usage authority will be informed. Moreover, confidential data related to your company will be shared with potential competitors through email and social media. You can be sure that you will incur damages far exceeding the amount we are requesting from you should you decide not to agree with us.

>>> Don't go to the police or the FBI for help and don't tell anyone that we attacked you.

- Seeking their help will only make the situation worse,They will try to prevent you from negotiating with us, because the negotiations will make them look incompetent,After the incident report is handed over to the government department, you will be fined ,The government uses your fine to reward them.And you will not get anything, and except you and your company, the rest of the people will forget what happened!!!!!

>>> How to contact with us?

- Install and run 'Tor Browser' from hxxps://www.torproject.org/download/
- Go to hxxp://h6tejafqdkdltp****************seslv6djgiukiii573xtid.onion/
- Log in using the Client ID: -

>>> WARNING

DO NOT MODIFY ENCRYPTED FILES YOURSELF.
DO NOT USE THIRD PARTY SOFTWARE TO RESTORE YOUR DATA.
YOU MAY DAMAGE YOUR FILES, IT WILL RESULT IN PERMANENT DATA LOSS.'