Μία ανάλυση του RansomHub ransomware αποκάλυψε ότι πρόκειται για μια ενημερωμένη έκδοση του Knight ransomware, το οποίο αποτελεί μετεξέλιξη του Cyclops.
Το Knight ransomware (ή Cyclops 2.0) έκανε την εμφάνισή του τον Μάιο του 2023, χρησιμοποιώντας τακτικές διπλού εκβιασμού για την κλοπή και κρυπτογράφηση δεδομένων των θυμάτων με σκοπό το οικονομικό όφελος. Είναι συμβατό με πολλές πλατφόρμες, όπως Windows, Linux, macOS, ESXi και Android.
Δείτε περισσότερα: Η Ρωσία πίσω από τη ransomware επίθεση στα νοσοκομεία του Λονδίνου
Οι επιθέσεις που περιλαμβάνουν το ransomware αυτό αξιοποιούν καμπάνιες phishing και spear-phishing ως φορέα διανομής μέσω κακόβουλων συνημμένων.
Η λειτουργία ransomware-as-a-service (RaaS) σταμάτησε στα τέλη Φεβρουαρίου 2024, όταν ο πηγαίος κώδικας τέθηκε προς πώληση. Αυτό αύξησε την πιθανότητα να έχει περάσει σε άλλα χέρια και να έχει ανανεωθεί από νέο παράγοντα, ο οποίος αποφάσισε να το αναβαθμίσει και να το επανεκκινήσει υπό την επωνυμία RansomHub.
Το RansomHub, το οποίο δημοσίευσε το πρώτο του θύμα τον ίδιο μήνα, έχει συνδεθεί με πολλές επιθέσεις ransomware τις τελευταίες εβδομάδες, συμπεριλαμβανομένων των εταιρειών Change Healthcare, Christie’s και Frontier Communications. Επίσης, δεσμεύτηκε να μην στοχεύει οντότητες στις χώρες της Κοινοπολιτείας Ανεξάρτητων Κρατών (CIS), την Κούβα, τη Βόρεια Κορέα και την Κίνα.
“Και τα δύο ωφέλιμα φορτία είναι γραμμένα στο Go και οι περισσότερες παραλλαγές κάθε οικογένειας είναι ασαφείς με το Gobfuscate,” δήλωσε η Symantec, μέρος της Broadcom, σε μια αναφορά που κοινοποιήθηκε στο The Hacker News. “Ο βαθμός επικάλυψης κώδικα μεταξύ των δύο οικογενειών είναι σημαντικός, καθιστώντας πολύ δύσκολη τη διαφοροποίηση μεταξύ τους.”
Και τα δύο μοιράζονται τα ίδια μενού βοήθειας στη γραμμή εντολών, με το RansomHub να προσθέτει μια νέα επιλογή “sleep,” η οποία το καθιστά αδρανές για μια καθορισμένη χρονική περίοδο (σε λεπτά) πριν από την εκτέλεση. Παρόμοιες εντολές ύπνου έχουν παρατηρηθεί σε οικογένειες ransomware Chaos/Yashma και Trigona.
Οι επικαλύψεις μεταξύ του Knight και του RansomHub περιλαμβάνουν επίσης την τεχνική συσκότισης που χρησιμοποιείται για την κωδικοποίηση συμβολοσειρών, τις σημειώσεις λύτρων που αφήνονται μετά την κρυπτογράφηση αρχείων και την ικανότητά τους να επανεκκινούν έναν κεντρικό υπολογιστή σε ασφαλή λειτουργία πριν από την έναρξη της κρυπτογράφησης.
Η μόνη ουσιαστική διαφορά είναι το σύνολο των εντολών που εκτελούνται μέσω του cmd.exe, αν και «ο τρόπος και η σειρά με την οποία καλούνται σε σχέση με άλλες λειτουργίες παραμένει η ίδια», δήλωσε η Symantec.
Οι επιθέσεις RansomHub έχουν αξιοποιήσει γνωστά κενά ασφαλείας (π.χ. ZeroLogon) για να αποκτήσουν αρχική πρόσβαση και να εγκαταστήσουν λογισμικό απομακρυσμένης επιφάνειας εργασίας όπως το Atera και το Splashtop, πριν από την ανάπτυξη ransomware. Σύμφωνα με στατιστικά στοιχεία από το Malwarebytes, η οικογένεια ransomware συνδέθηκε με 26 επιβεβαιωμένες επιθέσεις μόνο τον Απρίλιο του 2024, καταλαμβάνοντας τη θέση πίσω από τα Play, Hunters International, Black Basta και LockBit.
Η Mandiant, θυγατρική της Google, αποκάλυψε σε έκθεση αυτής της εβδομάδας ότι το RansomHub προσπαθεί να στρατολογήσει θυγατρικές που επηρεάστηκαν από πρόσφατους τερματισμούς λειτουργίας ή οικονομικές απάτες όπως το LockBit και το BlackCat. «Μια πρώην θυγατρική της Noberus, γνωστή ως Notchy, φέρεται τώρα να συνεργάζεται με το RansomHub», δήλωσε η Symantec. Επιπλέον, εργαλεία που συνδέονταν προηγουμένως με μια άλλη θυγατρική της Noberus, γνωστή ως Scattered Spider, χρησιμοποιήθηκαν σε πρόσφατη επίθεση στο RansomHub.
Διαβάστε επίσης: Οι παραβιάσεις λογαριασμών ξεπερνούν το Ransomware ως κορυφαία κυβερνοαπειλή
«Η ταχύτητα με την οποία το RansomHub δημιούργησε τις δραστηριότητές του υποδηλώνει ότι η ομάδα μπορεί να αποτελείται από βετεράνους χειριστές με εμπειρία και επαφές στον υπόγειο κυβερνοχώρο», ανέφερε η Symantec.
Περίπου το ένα τρίτο από τις 50 νέες οικογένειες που εντοπίστηκαν φέτος είναι παραλλαγές παλαιότερων γνωστών οικογενειών ransomware, υποδεικνύοντας την αυξημένη τάση για επαναχρησιμοποίηση κώδικα, επικάλυψη ηθοποιών και αναθεωρήσεις.
«Σε σχεδόν ένα τρίτο των περιστατικών, το ransomware αναπτύχθηκε εντός 48 ωρών από την αρχική πρόσβαση του εισβολέα», σημείωσαν οι ερευνητές της Mandiant. «Το 76% των αναπτύξεων ransomware πραγματοποιήθηκαν εκτός ωρών εργασίας, κυρίως νωρίς το πρωί».
Αυτές οι επιθέσεις χαρακτηρίζονται από τη χρήση εμπορικά διαθέσιμων και νόμιμων εργαλείων απομακρυσμένης επιφάνειας εργασίας για τη διευκόλυνση των εργασιών εισβολής, αντί της χρήσης του Cobalt Strike.
«Η αυξανόμενη εξάρτηση από νόμιμα εργαλεία πιθανότατα αντανακλά τις προσπάθειες των εισβολέων να κρύψουν τις δραστηριότητές τους από μηχανισμούς ανίχνευσης και να μειώσουν τον χρόνο και τους πόρους που απαιτούνται για την ανάπτυξη και συντήρηση προσαρμοσμένων εργαλείων», ανέφεραν οι ερευνητές της Mandiant.
Η αύξηση των επιθέσεων ransomware συνοδεύεται από την εμφάνιση νέων παραλλαγών όπως το BlackSuit, το Fog και το ShrinkLocker. Το τελευταίο έχει εντοπιστεί να αναπτύσσει ένα Visual Basic Script (VBScript) που εκμεταλλεύεται το εγγενές βοηθητικό πρόγραμμα BitLocker της Microsoft για μη εξουσιοδοτημένη κρυπτογράφηση αρχείων, στοχεύοντας το Μεξικό, την Ινδονησία και την Ιορδανία.
Το ShrinkLocker πήρε το όνομά του από την ικανότητά του να δημιουργεί νέο διαμέρισμα εκκίνησης, συρρικνώνοντας το μέγεθος κάθε μη εκκινήσιμου διαμερίσματος κατά 100 MB, μετατρέποντας τον μη εκχωρημένο χώρο σε νέο κύριο διαμέρισμα και χρησιμοποιώντας τον για την επανεγκατάσταση των αρχείων εκκίνησης για να ενεργοποιηθεί η ανάκτηση.
Διαβάστε ακόμη: Επίθεση ransomware στη Δημόσια Βιβλιοθήκη του Σιάτλ
«Αυτός ο παράγοντας απειλής κατανοεί σε βάθος τη γλώσσα VBScript, τα εσωτερικά και τα βοηθητικά προγράμματα των Windows, όπως το WMI, το diskpart και το bcdboot», ανέφερε η Kaspersky στην ανάλυσή της για το ShrinkLocker, σημειώνοντας ότι πιθανότατα «έχουν ήδη πλήρη έλεγχο του συστήματος στόχου όταν εκτελέστηκε το σενάριο».
Πηγή: thehackernews
