Multi-License Discount Quote
Cơ sở dữ liệu về mối đe dọa Ransomware RansomHub Ransomware

RansomHub Ransomware

Đến năm Mezo năm Ransomware
Dịch sang:
Tiếng Việt Nam

Các nhà phân tích an ninh mạng đã phát hiện ra một chủng ransomware mới có tên RansomHub. Theo báo cáo, tội phạm mạng đằng sau nó tuyên bố rằng chúng sẽ không nhắm mục tiêu vào các thực thể ở các quốc gia thuộc Cộng đồng các quốc gia độc lập (CIS), Cuba, Triều Tiên và Trung Quốc. Bất chấp tuyên bố này, họ đã tích cực lây nhiễm sang một số tổ chức nổi tiếng trong một khoảng thời gian ngắn. Trong số nạn nhân của họ có Change Healthcare, Christie's và Frontier Communications. Đáng chú ý, các nhà nghiên cứu nhấn mạnh rằng RansomHub có điểm tương đồng đáng kể với Knight Ransomware , một phiên bản lặp lại của ransomware đã được xác định trước đó có tên là Cyclops .

Mã ransomware Knight được rao bán cho tất cả tội phạm mạng

Knight Ransomware, còn được gọi là Cyclops 2.0, xuất hiện vào tháng 5 năm 2023, sử dụng kỹ thuật tống tiền kép để đánh cắp và mã hóa dữ liệu của nạn nhân để kiếm lợi. Nó có khả năng hoạt động trên nhiều nền tảng khác nhau, bao gồm Windows, Linux, macOS, ESXi và Android.

Được bán trên diễn đàn tội phạm mạng RAMP, các cuộc tấn công bằng ransomware này thường dựa vào chiến thuật lừa đảo trực tuyến và lừa đảo trực tuyến, sử dụng các tệp đính kèm gian lận để phân phối. Hoạt động Ransomware-as-a-Service (RaaS) đã ngừng hoạt động vào cuối tháng 2 năm 2024, với mã nguồn của nó được rao bán. Động thái này làm tăng khả năng chuyển giao cho một tác nhân mới, người có thể đã cập nhật và khởi chạy lại nó dưới tên RansomHub.

Sự chồng chéo đáng kể giữa RansomHub và Knight Ransomware

Cả hai chủng ransomware đều được viết bằng Go và hầu hết các phiên bản của mỗi họ đều bị xáo trộn bằng Gobfuscate. Có một mức độ tương tự đáng kể về mã giữa hai loại này, khiến việc phân biệt chúng trở nên khó khăn.

Cả hai dòng ransomware đều có chung menu trợ giúp trên giao diện dòng lệnh. Tuy nhiên, RansomHub giới thiệu tùy chọn 'ngủ' mới, cho phép nó không hoạt động trong một khoảng thời gian xác định (tính bằng phút) trước khi thực thi. Lệnh ngủ tương tự đã được quan sát thấy trong các mối đe dọa khác như Chaos / YashmaTrigona Ransomware.

Điểm tương đồng giữa Knight và RansomHub còn ở các kỹ thuật làm rối mã nguồn được sử dụng để mã hóa chuỗi, nội dung của ghi chú đòi tiền chuộc còn lại sau khi mã hóa tệp và khả năng khởi động lại máy chủ vào chế độ an toàn trước khi bắt đầu mã hóa.

Sự khác biệt chính nằm ở tập lệnh được thực thi thông qua cmd.exe, mặc dù trình tự và cách thực thi của chúng so với các hoạt động khác vẫn giữ nguyên.

Ransomware RansomHub có thể được vận hành bởi tội phạm mạng kỳ cựu

Người ta đã quan sát thấy các cuộc tấn công của RansomHub khai thác các lỗ hổng bảo mật đã biết (chẳng hạn như ZeroLogon ) để giành quyền truy cập ban đầu. Họ loại bỏ phần mềm máy tính từ xa như Atera và Splashtop trước khi triển khai ransomware. Chỉ riêng trong tháng 4 năm 2024, gần 30 cuộc tấn công được xác nhận có liên quan đến chủng ransomware này.

Các nhà nghiên cứu nghi ngờ RansomHub đang tích cực tìm kiếm các chi nhánh bị ảnh hưởng bởi các chiến thuật ngừng hoạt động hoặc rút lui gần đây, như của LockBitBlackCat (còn được gọi là ALPHV và Noberus). Người ta tin rằng một chi nhánh cũ của Noberus có tên Notchy hiện có thể đang hợp tác với RansomHub. Ngoài ra, các công cụ trước đây được liên kết với một chi nhánh khác của Noberus, Scattered Spider, đã được sử dụng trong một cuộc tấn công RansomHub gần đây.

Việc mở rộng nhanh chóng các hoạt động của RansomHub cho thấy nhóm này có thể bao gồm các nhà khai thác dày dạn kinh nghiệm và có mối quan hệ trong mạng ngầm.

Các cuộc tấn công ransomware đang gia tăng trở lại

Sự phát triển của RansomHub diễn ra trong bối cảnh hoạt động ransomware gia tăng vào năm 2023, sau khi giảm nhẹ vào năm 2022. Điều thú vị là khoảng 1/3 trong số 50 họ ransomware mới được phát hiện trong năm là biến thể của những họ đã được xác định trước đó. Xu hướng này cho thấy sự phổ biến ngày càng tăng của việc tái chế mã, chồng chéo tác nhân và chiến lược đổi thương hiệu.

Những cuộc tấn công này đáng chú ý vì chúng sử dụng các công cụ máy tính từ xa hợp pháp và có sẵn trên thị trường thay vì dựa vào Cobalt Strike . Sự phụ thuộc ngày càng tăng vào các công cụ hợp pháp như vậy có thể cho thấy nỗ lực của kẻ tấn công nhằm trốn tránh các cơ chế phát hiện và hợp lý hóa hoạt động của chúng, làm giảm nhu cầu phát triển và duy trì các công cụ tùy chỉnh.

Thông báo đòi tiền chuộc mà nạn nhân của RansomHub Ransomware sẽ nhận được nội dung:

'Hello!

Visit our Blog:

Tor Browser Links:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion/

Links for normal browser:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion.ly/

>>> Your data is stolen and encrypted.

- If you don't pay the ransom, the data will be published on our TOR darknet sites. Keep in mind that once your data appears on our leak site, it could be bought by your competitors at any second, so don't hesitate for a long time. The sooner you pay the ransom, the sooner your company will be safe.


>>> If you have an external or cloud backup; what happens if you don’t agree with us?

- All countries have their own PDPL (Personal Data Protection Law) regulations. In the event that you do not agree with us, information pertaining to your companies and the data of your company’s customers will be published on the internet, and the respective country’s personal data usage authority will be informed. Moreover, confidential data related to your company will be shared with potential competitors through email and social media. You can be sure that you will incur damages far exceeding the amount we are requesting from you should you decide not to agree with us.


>>> Don't go to the police or the FBI for help and don't tell anyone that we attacked you.

- Seeking their help will only make the situation worse,They will try to prevent you from negotiating with us, because the negotiations will make them look incompetent,After the incident report is handed over to the government department, you will be fined ,The government uses your fine to reward them.And you will not get anything, and except you and your company, the rest of the people will forget what happened!!!!!


>>> How to contact with us?

- Install and run 'Tor Browser' from hxxps://www.torproject.org/download/
- Go to hxxp://h6tejafqdkdltp****************seslv6djgiukiii573xtid.onion/
- Log in using the Client ID: -


>>> WARNING

DO NOT MODIFY ENCRYPTED FILES YOURSELF.
DO NOT USE THIRD PARTY SOFTWARE TO RESTORE YOUR DATA.
YOU MAY DAMAGE YOUR FILES, IT WILL RESULT IN PERMANENT DATA LOSS.'

xu hướng

Xem nhiều nhất

Lừa đảo qua email 'Geek Squad'

Phishing, Spam
39,400
Geek Squad, một nhà cung cấp dịch vụ hỗ trợ công nghệ nổi tiếng, đã trở thành nạn nhân của một trò lừa đảo lừa đảo có tên là Geek Squad Email Scam. Trò lừa đảo hỗ trợ kỹ thuật này sử dụng email giả để lừa mọi người cung cấp thông tin cá nhân của họ, chẳng hạn như chi tiết thẻ tín dụng, địa chỉ email và thậm chí cả số An sinh xã hội. Trong bài viết này, chúng ta sẽ thảo luận về trò lừa đảo, nó...
Đang tải...