Програми-вимагачі RansomHub
Аналітики з кібербезпеки виявили новий штам програм-вимагачів під назвою RansomHub. Згідно з повідомленнями, кіберзлочинці, які стоять за ним, стверджують, що вони не будуть атакувати організації в країнах Співдружності Незалежних Держав (СНД), Кубі, Північній Кореї та Китаї. Незважаючи на цю заяву, вони активно заражали кілька відомих організацій протягом короткого проміжку часу. Серед їхніх жертв Change Healthcare, Christie's і Frontier Communications. Примітно, що дослідники підкреслюють, що RansomHub має значну схожість з Knight Ransomware , яка є ітерацією раніше ідентифікованого програмного забезпечення-вимагача під назвою Cyclops .
Зміст
Код Knight Ransomware був запропонований для продажу всім кіберзлочинцям
Програма-вимагач Knight, також відома як Cyclops 2.0, з’явилася в травні 2023 року, використовуючи методи подвійного вимагання для крадіжки та шифрування даних жертв з метою отримання прибутку. Він здатний працювати на різних платформах, включаючи Windows, Linux, macOS, ESXi та Android.
Продана на форумі про кіберзлочинність RAMP, атаки за допомогою цього програмного забезпечення-вимагача часто покладалися на тактику фішингу та фішингу з використанням шахрайських вкладень для розповсюдження. Операція Ransomware-as-a-Service (RaaS) була припинена наприкінці лютого 2024 року, а її вихідний код було виставлено на продаж. Цей крок підвищив можливість передачі новому актору, який, можливо, оновив і перезапустив його під назвою RansomHub.
Значні збіги між RansomHub і Knight Ransomware
Обидва штами програм-вимагачів написані на Go, і більшість версій кожного сімейства обфусковано за допомогою Gobfuscate. Існує значна ступінь подібності коду між ними, що ускладнює їх розрізнення.
Обидві сімейства програм-вимагачів мають ідентичні меню довідки в інтерфейсі командного рядка. Однак RansomHub представляє нову опцію «сплячого режиму», яка дозволяє йому залишатися неактивним протягом певного періоду (у хвилинах) перед виконанням. Подібні команди сну спостерігалися в інших загрозах, таких як Chaos / Yashma та Trigona Ransomware.
Подібність між Knight і RansomHub поширюється на методи обфускації, які використовуються для кодування рядків, вміст нотаток про викуп, що залишилися після шифрування файлів, і їх здатність перезавантажувати хост у безпечний режим перед початком шифрування.
Основна відмінність полягає в наборі команд, які виконуються через cmd.exe, хоча їх послідовність і виконання відносно інших операцій залишаються незмінними.
Програмою-вимагачем RansomHub можуть керувати досвідчені кіберзлочинці
Були виявлені атаки RansomHub, які використовували відомі вразливості системи безпеки (наприклад, ZeroLogon ) для отримання початкового доступу. Вони видаляють програмне забезпечення для віддаленого робочого столу, як-от Atera та Splashtop, перед розгортанням програм-вимагачів. Лише у квітні 2024 року майже 30 підтверджених атак були пов’язані з цим штамом програм-вимагачів.
Дослідники підозрюють, що RansomHub активно шукає філій, які постраждали від нещодавніх зупинок або тактик виходу, як-от LockBit і BlackCat (також відомих як ALPHV і Noberus). Вважається, що колишня філія Noberus під назвою Notchy тепер може співпрацювати з RansomHub. Крім того, під час недавньої атаки на RansomHub використовувалися інструменти, раніше пов’язані з іншою філією Noberus, Scattered Spider.
Швидке розширення діяльності RansomHub свідчить про те, що до групи можуть входити досвідчені оператори з досвідом і зв’язками в кіберпідпіллі.
Атаки програм-вимагачів знову зростають
Розробка RansomHub відбувається на тлі зростання активності програм-вимагачів у 2023 році після невеликого зниження у 2022 році. Цікаво, що приблизно третина з 50 нових сімейств програм-вимагачів, виявлених протягом року, є варіаціями раніше ідентифікованих. Ця тенденція свідчить про зростання поширеності переробки коду, збігів акторів і стратегій ребрендингу.
Ці атаки відомі тим, що вони використовують комерційно доступні та законні інструменти віддаленого робочого столу, а не покладаються на Cobalt Strike . Зростаюча залежність від таких законних інструментів, ймовірно, свідчить про спроби зловмисників уникнути механізмів виявлення та оптимізувати свої операції, зменшуючи потребу в розробці та підтримці спеціальних інструментів.
У записці про викуп, яку отримають жертви програми-вимагача RansomHub, зазначено:
'Hello!
Visit our Blog:
Tor Browser Links:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion/Links for normal browser:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion.ly/>>> Your data is stolen and encrypted.
- If you don't pay the ransom, the data will be published on our TOR darknet sites. Keep in mind that once your data appears on our leak site, it could be bought by your competitors at any second, so don't hesitate for a long time. The sooner you pay the ransom, the sooner your company will be safe.
>>> If you have an external or cloud backup; what happens if you don’t agree with us?- All countries have their own PDPL (Personal Data Protection Law) regulations. In the event that you do not agree with us, information pertaining to your companies and the data of your company’s customers will be published on the internet, and the respective country’s personal data usage authority will be informed. Moreover, confidential data related to your company will be shared with potential competitors through email and social media. You can be sure that you will incur damages far exceeding the amount we are requesting from you should you decide not to agree with us.
>>> Don't go to the police or the FBI for help and don't tell anyone that we attacked you.- Seeking their help will only make the situation worse,They will try to prevent you from negotiating with us, because the negotiations will make them look incompetent,After the incident report is handed over to the government department, you will be fined ,The government uses your fine to reward them.And you will not get anything, and except you and your company, the rest of the people will forget what happened!!!!!
>>> How to contact with us?- Install and run 'Tor Browser' from hxxps://www.torproject.org/download/
- Go to hxxp://h6tejafqdkdltp****************seslv6djgiukiii573xtid.onion/
- Log in using the Client ID: -
>>> WARNINGDO NOT MODIFY ENCRYPTED FILES YOURSELF.
DO NOT USE THIRD PARTY SOFTWARE TO RESTORE YOUR DATA.
YOU MAY DAMAGE YOUR FILES, IT WILL RESULT IN PERMANENT DATA LOSS.'
