RansomHub Fidye Yazılımı
Siber güvenlik analistleri RansomHub adında yeni bir fidye yazılımı türünü ortaya çıkardı. Raporlara göre, bunun arkasındaki siber suçlular Bağımsız Devletler Topluluğu (BDT) ülkeleri, Küba, Kuzey Kore ve Çin'deki kuruluşları hedef almayacaklarını iddia ediyor. Bu açıklamaya rağmen, kısa bir süre içinde birçok önemli kuruluşa aktif olarak bulaşıyorlar. Kurbanları arasında Change Healthcare, Christie's ve Frontier Communications da var. Özellikle araştırmacılar, RansomHub'ın, daha önce tanımlanan Cyclops adlı fidye yazılımının bir yinelemesi olan Knight Ransomware'e önemli bir benzerlik taşıdığını vurguluyor.
İçindekiler
Knight Fidye Yazılımı Kodu Tüm Siber Suçlulara Satışa Sunuldu
Cyclops 2.0 olarak da bilinen Knight Ransomware, kâr amacıyla kurbanların verilerini çalmak ve şifrelemek için çift gasp tekniklerinden yararlanarak Mayıs 2023'te ortaya çıktı. Windows, Linux, macOS, ESXi ve Android dahil olmak üzere çeşitli platformlarda çalışma kapasitesine sahiptir.
RAMP siber suç forumunda satılan bu fidye yazılımıyla yapılan saldırılar genellikle dağıtım için sahte eklentiler kullanan kimlik avı ve hedef odaklı kimlik avı taktiklerine dayanıyordu. Hizmet Olarak Fidye Yazılımı (RaaS) operasyonu, kaynak kodunun satışa sunulmasıyla Şubat 2024'ün sonlarında durduruldu. Bu hamle, onu RansomHub adı altında güncelleyip yeniden başlatmış olabilecek yeni bir aktöre transfer olasılığını artırdı.
RansomHub ve Knight Ransomware Arasında Önemli Örtüşmeler
Her iki fidye yazılımı türü de Go'da yazılmıştır ve her ailenin çoğu sürümü Gobfuscate ile karartılmıştır. İkisi arasında önemli derecede kod benzerliği vardır ve bu da onları ayırt etmeyi zorlaştırır.
Her iki fidye yazılımı ailesi de komut satırı arayüzünde aynı yardım menülerini paylaşıyor. Ancak RansomHub, yürütülmeden önce belirli bir süre (dakika olarak) boyunca etkin olmamasına olanak tanıyan yeni bir 'uyku' seçeneği sunar. Kaos / Yashma ve Trigona Fidye Yazılımı gibi diğer tehditlerde de benzer uyku komutları gözlemlendi.
Knight ve RansomHub arasındaki benzerlikler, dizeleri kodlamak için kullanılan gizleme tekniklerine, dosyaları şifreledikten sonra kalan fidye notlarının içeriğine ve şifreleme başlamadan önce bir ana bilgisayarı güvenli modda yeniden başlatma yeteneklerine kadar uzanır.
Temel fark, cmd.exe aracılığıyla yürütülen komutların kümesinde yatmaktadır; ancak diğer işlemlere göre bunların sırası ve yürütülmesi aynı kalmaktadır.
RansomHub Fidye Yazılımı Tecrübeli Siber Suçlular Tarafından Çalıştırılıyor Olabilir
RansomHub saldırılarının, ilk erişimi elde etmek için bilinen güvenlik açıklarından ( ZeroLogon gibi) yararlandığı gözlemlenmiştir. Fidye yazılımını dağıtmadan önce Atera ve Splashtop gibi uzak masaüstü yazılımlarını bırakıyorlar. Yalnızca Nisan 2024'te, yaklaşık 30 doğrulanmış saldırının bu fidye yazılımı türüyle bağlantısı olduğu görüldü.
Araştırmacılar, RansomHub'ın, LockBit ve BlackCat (ALPHV ve Noberus olarak da bilinir) gibi yakın zamandaki kapanmalardan veya çıkış taktiklerinden etkilenen bağlı kuruluşları aktif olarak aradığından şüpheleniyor. Notchy adlı eski bir Noberus bağlı kuruluşunun artık RansomHub ile işbirliği yapıyor olabileceğine inanılıyor. Ek olarak, daha önce başka bir Noberus üyesi olan Scattered Spider ile ilişkilendirilen araçlar, yakın zamanda gerçekleşen bir RansomHub saldırısında kullanıldı.
RansomHub'un operasyonlarının hızla genişlemesi, grubun siber yeraltında deneyime ve bağlantılara sahip deneyimli operatörlerden oluşabileceğini gösteriyor.
Fidye Yazılımı Saldırıları Yeniden Yükselişte
RansomHub gelişimi, 2022'deki hafif düşüşün ardından 2023'te fidye yazılımı faaliyetlerinde artış yaşandığı bir dönemde gerçekleşti. İlginçtir ki, yıl içinde keşfedilen 50 yeni fidye yazılımı ailesinin yaklaşık üçte biri, daha önce tanımlananların varyasyonlarıdır. Bu eğilim, kod geri dönüşümünün, aktör örtüşmelerinin ve yeniden markalama stratejilerinin giderek yaygınlaştığını gösteriyor.
Bu saldırılar, Cobalt Strike'a güvenmek yerine ticari olarak temin edilebilen ve yasal uzak masaüstü araçlarını kullanmalarıyla dikkat çekiyor. Bu tür meşru araçlara olan bağımlılığın artması, muhtemelen saldırganların tespit mekanizmalarından kaçma ve operasyonlarını düzene koyma, özel araçların geliştirilmesi ve bakımı ihtiyacını azaltma çabalarının bir göstergesidir.
RansomHub Ransomware kurbanlarının alacağı fidye notu şöyle:
'Hello!
Visit our Blog:
Tor Browser Links:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion/Links for normal browser:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion.ly/>>> Your data is stolen and encrypted.
- If you don't pay the ransom, the data will be published on our TOR darknet sites. Keep in mind that once your data appears on our leak site, it could be bought by your competitors at any second, so don't hesitate for a long time. The sooner you pay the ransom, the sooner your company will be safe.
>>> If you have an external or cloud backup; what happens if you don’t agree with us?- All countries have their own PDPL (Personal Data Protection Law) regulations. In the event that you do not agree with us, information pertaining to your companies and the data of your company’s customers will be published on the internet, and the respective country’s personal data usage authority will be informed. Moreover, confidential data related to your company will be shared with potential competitors through email and social media. You can be sure that you will incur damages far exceeding the amount we are requesting from you should you decide not to agree with us.
>>> Don't go to the police or the FBI for help and don't tell anyone that we attacked you.- Seeking their help will only make the situation worse,They will try to prevent you from negotiating with us, because the negotiations will make them look incompetent,After the incident report is handed over to the government department, you will be fined ,The government uses your fine to reward them.And you will not get anything, and except you and your company, the rest of the people will forget what happened!!!!!
>>> How to contact with us?- Install and run 'Tor Browser' from hxxps://www.torproject.org/download/
- Go to hxxp://h6tejafqdkdltp****************seslv6djgiukiii573xtid.onion/
- Log in using the Client ID: -
>>> WARNINGDO NOT MODIFY ENCRYPTED FILES YOURSELF.
DO NOT USE THIRD PARTY SOFTWARE TO RESTORE YOUR DATA.
YOU MAY DAMAGE YOUR FILES, IT WILL RESULT IN PERMANENT DATA LOSS.'
