گروه RansomHub Ransomware 210 قربانی را در بخش های حیاتی هدف قرار می دهد

RansomHub Ransomware Group

مجموعه باج افزار RansomHub

دولت ایالات متحده گفت که بازیگران مرتبط با گروه باج افزار RansomHub از زمان ایجاد آن در فوریه 2024، داده های حداقل 210 قربانی را رمزگذاری و استخراج کرده اند.

قربانیان شامل بخش‌های مختلف از جمله آب و فاضلاب، فناوری اطلاعات، خدمات و تأسیسات دولتی، مراقبت‌های بهداشتی و بهداشت عمومی، خدمات اضطراری، غذا و کشاورزی، خدمات مالی، تسهیلات تجاری، ساخت‌وساز حیاتی، حمل‌ونقل و زیرساخت‌های ارتباطی حیاتی هستند.

RansomHub نوعی از باج‌افزار به‌عنوان یک سرویس است – که قبلاً Cyclops و Knight نام داشت – که خود را به‌عنوان یک مدل خدمات مؤثر و موفق ثابت کرده است (اخیراً وابستگان برجسته دیگری مانند LockBit و ALPHV را جذب کرده است). سازمان های دولتی گفتند.

عملیات جرایم سایبری، نوعی بدافزار باج‌افزار به‌عنوان یک سرویس (RaaS) که از فرزندان Cyclops و Knight است، وابستگان برجسته‌ای را از دیگر انواع برجسته‌ای مانند LockBit و ALPHV (همچنین به عنوان BlackCat) جذب کرده است. موج اخیر اقدامات اجرایی قانون.

فعالیت RansomHub به عنوان سهمی از کل فعالیت باج‌افزار مشاهده‌شده توسط فروشنده امنیت سایبری روند صعودی را طی می‌کند و حدود 2% از کل حملات در سه ماهه اول 2024 و 5.1% در سه ماهه دوم و 14.2% تاکنون در سه ماهه سوم را به خود اختصاص داده است. .

امنیت سایبری

این شرکت خاطرنشان کرد که «حدود 34 درصد از حملات RansomHub سازمان‌ها را در اروپا هدف قرار می‌دهند، در مقایسه با حدود 25 درصد در سراسر چشم‌انداز تهدید».

شناخته شده است که این گروه از یک مدل اخاذی دوگانه برای استخراج داده ها و رمزگذاری سیستم ها برای باج گیری از قربانیان استفاده می کند که از آنها خواسته می شود از طریق یک URL منحصر به فرد با اپراتورها تماس بگیرند. اطلاعات مربوط به شرکت‌های هدفمندی که از تسلیم شدن به درخواست‌های باج امتناع می‌کنند، در سایت نشت داده‌ها برای دوره‌ای از سه تا 90 روز منتشر می‌شود.

دسترسی اولیه به محیط های قربانی با بهره برداری از آسیب پذیری های شناخته شده در Apache ActiveMQ (CVE-2023-46604)، مرکز داده و سرور Atlassian Confluence (CVE-2023-22515)، Citrix ADC (CVE-2023-3519-) و F5 تسهیل می شود. IP (CVE-2023-46747)، Fortinet FortiOS (CVE-2023-27997)، Fortinet FortiClientEMS (CVE-2023-48788)، و دیگران.

این مرحله با موفقیت شرکت‌های وابسته را با استفاده از برنامه‌هایی مانند AngryIPScanner، Nmap و سایر روش‌های زندگی خارج از زمین (LotL) تحت شناسایی و اسکن شبکه قرار می‌دهد. حملات RansomHub همچنین شامل غیرفعال کردن نرم افزار آنتی ویروس با استفاده از ابزارهایی است که برای پرواز در زیر رادار طراحی شده اند.

مشاور دولت ایالات متحده گفت: «پس از دسترسی اولیه، شرکت‌های وابسته به RansomHub حساب‌های کاربری پایدار ایجاد کردند، حساب‌های غیرفعال را دوباره فعال کردند و از Mimikatz در سیستم‌های ویندوز برای جمع‌آوری اعتبار (T1003) و افزایش امتیازات به SYSTEM استفاده کردند.

سپس شرکا از طریق روش هایی از جمله پروتکل دسکتاپ از راه دور (RDP)، PsExec، AnyDesk، Connectwise، N-Able، Cobalt Strike، Metasploit یا سایر روش های فرمان و کنترل (C2) به صورت جانبی حرکت می کنند.

یکی دیگر از جنبه های قابل توجه حملات RansomHub استفاده از رمزگذاری سرسام آور برای سرعت بخشیدن به فرآیند است، با نشت داده ها از طریق ابزارهایی مانند PuTTY، سطل های Amazon AWS S3، درخواست های HTTP POST، WinSCP، Rclone، Cobalt Strike، Metasploit و روش های دیگر.

این توسعه زمانی انجام می‌شود که واحد 42 شبکه‌های Palo Alto تاکتیک‌های مرتبط با باج‌افزار ShinyHunters را کشف کرده است، که آن را به‌عنوان Bling Libra ردیابی می‌کند و تغییر آن به سمت اخاذی از قربانیان به جای تاکتیک سنتی فروش یا انتشار داده‌های دزدیده شده را برجسته می‌کند. این برنامه مخرب اولین بار در سال 2020 ظاهر شد.

مارگارت زیمرمن و چاندنی وایا، محققین امنیتی، می‌گویند: «این گروه برای دسترسی اولیه به محیط سرویس‌های وب آمازون (AWS) سازمان، اعتبارنامه‌های قانونی را به دست می‌آورد که منبع آن از مخازن عمومی است.

«در حالی که مجوزهای مرتبط با اعتبارنامه های به خطر افتاده تأثیر نقض را محدود می کرد، Bling Libra به محیط AWS سازمان نفوذ کرد و عملیات شناسایی را انجام داد، گروه عامل تهدید از ابزارهایی مانند مرورگر Amazon Simple Storage Service (S3) و WinSCP برای جمع آوری اطلاعات در مورد S3 استفاده کرد. تنظیمات سطل و دسترسی به اشیاء S3 و حذف داده ها.”

امنیت سایبری

به گفته SOCRadar، این همچنین به دنبال توسعه قابل توجهی در حملات باج‌افزاری است که فراتر از رمزگذاری فایل رفته و از استراتژی‌های اخاذی پیچیده و چند وجهی استفاده می‌کند، حتی با استفاده از طرح‌های اخاذی سه‌گانه و چهارگانه.

این شرکت گفت: “اخاذی سه گانه خطرات را افزایش می دهد و ابزارهای اضافی برای اختلال را فراتر از رمزگذاری و استخراج تهدید می کند.”

“این ممکن است شامل انجام یک حمله DDoS علیه سیستم های قربانی یا تهدید مستقیم به مشتریان، تامین کنندگان یا سایر شرکای قربانی برای ایجاد آسیب های عملیاتی و اعتباری بیشتر به افرادی باشد که در نهایت در طرح اخاذی هدف قرار گرفته اند.”

اخاذی چهارگانه با تماس با اشخاص ثالثی که با قربانیان روابط تجاری دارند و باج گیری از آنها یا تهدید قربانیان به افشای داده های اشخاص ثالث برای افزایش فشار بر قربانی برای پرداخت باج، خطرات را افزایش می دهد.

ماهیت سودآور مدل های RaaS منجر به افزایش قابل توجه انواع باج افزارهای جدید مانند Allarich، Cronus، CyberVolk، Datablack، DeathGrip، Hawk Eye و Insom شده است. همچنین بازیگران دولتی ایران را بر آن داشت تا در ازای دریافت سهمی از درآمدهای غیرقانونی، با گروه‌های معروفی مانند NoEscape، RansomHouse و BlackCat همکاری کنند.

آیا این مقاله برای شما جالب بود؟ ما را دنبال کنید توییتر و لینکدین برای خواندن مطالب انحصاری بیشتر ما.



منبع: https://thehackernews.com/2024/09/ransomhub-ransomware-group-targets-210.html