دولت ایالات متحده گفت که بازیگران مرتبط با گروه باج افزار RansomHub از زمان ایجاد آن در فوریه 2024، داده های حداقل 210 قربانی را رمزگذاری و استخراج کرده اند.
قربانیان شامل بخشهای مختلف از جمله آب و فاضلاب، فناوری اطلاعات، خدمات و تأسیسات دولتی، مراقبتهای بهداشتی و بهداشت عمومی، خدمات اضطراری، غذا و کشاورزی، خدمات مالی، تسهیلات تجاری، ساختوساز حیاتی، حملونقل و زیرساختهای ارتباطی حیاتی هستند.
RansomHub نوعی از باجافزار بهعنوان یک سرویس است – که قبلاً Cyclops و Knight نام داشت – که خود را بهعنوان یک مدل خدمات مؤثر و موفق ثابت کرده است (اخیراً وابستگان برجسته دیگری مانند LockBit و ALPHV را جذب کرده است). سازمان های دولتی گفتند.
عملیات جرایم سایبری، نوعی بدافزار باجافزار بهعنوان یک سرویس (RaaS) که از فرزندان Cyclops و Knight است، وابستگان برجستهای را از دیگر انواع برجستهای مانند LockBit و ALPHV (همچنین به عنوان BlackCat) جذب کرده است. موج اخیر اقدامات اجرایی قانون.
فعالیت RansomHub به عنوان سهمی از کل فعالیت باجافزار مشاهدهشده توسط فروشنده امنیت سایبری روند صعودی را طی میکند و حدود 2% از کل حملات در سه ماهه اول 2024 و 5.1% در سه ماهه دوم و 14.2% تاکنون در سه ماهه سوم را به خود اختصاص داده است. .
این شرکت خاطرنشان کرد که «حدود 34 درصد از حملات RansomHub سازمانها را در اروپا هدف قرار میدهند، در مقایسه با حدود 25 درصد در سراسر چشمانداز تهدید».
شناخته شده است که این گروه از یک مدل اخاذی دوگانه برای استخراج داده ها و رمزگذاری سیستم ها برای باج گیری از قربانیان استفاده می کند که از آنها خواسته می شود از طریق یک URL منحصر به فرد با اپراتورها تماس بگیرند. اطلاعات مربوط به شرکتهای هدفمندی که از تسلیم شدن به درخواستهای باج امتناع میکنند، در سایت نشت دادهها برای دورهای از سه تا 90 روز منتشر میشود.
دسترسی اولیه به محیط های قربانی با بهره برداری از آسیب پذیری های شناخته شده در Apache ActiveMQ (CVE-2023-46604)، مرکز داده و سرور Atlassian Confluence (CVE-2023-22515)، Citrix ADC (CVE-2023-3519-) و F5 تسهیل می شود. IP (CVE-2023-46747)، Fortinet FortiOS (CVE-2023-27997)، Fortinet FortiClientEMS (CVE-2023-48788)، و دیگران.
این مرحله با موفقیت شرکتهای وابسته را با استفاده از برنامههایی مانند AngryIPScanner، Nmap و سایر روشهای زندگی خارج از زمین (LotL) تحت شناسایی و اسکن شبکه قرار میدهد. حملات RansomHub همچنین شامل غیرفعال کردن نرم افزار آنتی ویروس با استفاده از ابزارهایی است که برای پرواز در زیر رادار طراحی شده اند.
مشاور دولت ایالات متحده گفت: «پس از دسترسی اولیه، شرکتهای وابسته به RansomHub حسابهای کاربری پایدار ایجاد کردند، حسابهای غیرفعال را دوباره فعال کردند و از Mimikatz در سیستمهای ویندوز برای جمعآوری اعتبار (T1003) و افزایش امتیازات به SYSTEM استفاده کردند.
سپس شرکا از طریق روش هایی از جمله پروتکل دسکتاپ از راه دور (RDP)، PsExec، AnyDesk، Connectwise، N-Able، Cobalt Strike، Metasploit یا سایر روش های فرمان و کنترل (C2) به صورت جانبی حرکت می کنند.
یکی دیگر از جنبه های قابل توجه حملات RansomHub استفاده از رمزگذاری سرسام آور برای سرعت بخشیدن به فرآیند است، با نشت داده ها از طریق ابزارهایی مانند PuTTY، سطل های Amazon AWS S3، درخواست های HTTP POST، WinSCP، Rclone، Cobalt Strike، Metasploit و روش های دیگر.
این توسعه زمانی انجام میشود که واحد 42 شبکههای Palo Alto تاکتیکهای مرتبط با باجافزار ShinyHunters را کشف کرده است، که آن را بهعنوان Bling Libra ردیابی میکند و تغییر آن به سمت اخاذی از قربانیان به جای تاکتیک سنتی فروش یا انتشار دادههای دزدیده شده را برجسته میکند. این برنامه مخرب اولین بار در سال 2020 ظاهر شد.
مارگارت زیمرمن و چاندنی وایا، محققین امنیتی، میگویند: «این گروه برای دسترسی اولیه به محیط سرویسهای وب آمازون (AWS) سازمان، اعتبارنامههای قانونی را به دست میآورد که منبع آن از مخازن عمومی است.
«در حالی که مجوزهای مرتبط با اعتبارنامه های به خطر افتاده تأثیر نقض را محدود می کرد، Bling Libra به محیط AWS سازمان نفوذ کرد و عملیات شناسایی را انجام داد، گروه عامل تهدید از ابزارهایی مانند مرورگر Amazon Simple Storage Service (S3) و WinSCP برای جمع آوری اطلاعات در مورد S3 استفاده کرد. تنظیمات سطل و دسترسی به اشیاء S3 و حذف داده ها.”
به گفته SOCRadar، این همچنین به دنبال توسعه قابل توجهی در حملات باجافزاری است که فراتر از رمزگذاری فایل رفته و از استراتژیهای اخاذی پیچیده و چند وجهی استفاده میکند، حتی با استفاده از طرحهای اخاذی سهگانه و چهارگانه.
این شرکت گفت: “اخاذی سه گانه خطرات را افزایش می دهد و ابزارهای اضافی برای اختلال را فراتر از رمزگذاری و استخراج تهدید می کند.”
“این ممکن است شامل انجام یک حمله DDoS علیه سیستم های قربانی یا تهدید مستقیم به مشتریان، تامین کنندگان یا سایر شرکای قربانی برای ایجاد آسیب های عملیاتی و اعتباری بیشتر به افرادی باشد که در نهایت در طرح اخاذی هدف قرار گرفته اند.”
اخاذی چهارگانه با تماس با اشخاص ثالثی که با قربانیان روابط تجاری دارند و باج گیری از آنها یا تهدید قربانیان به افشای داده های اشخاص ثالث برای افزایش فشار بر قربانی برای پرداخت باج، خطرات را افزایش می دهد.
ماهیت سودآور مدل های RaaS منجر به افزایش قابل توجه انواع باج افزارهای جدید مانند Allarich، Cronus، CyberVolk، Datablack، DeathGrip، Hawk Eye و Insom شده است. همچنین بازیگران دولتی ایران را بر آن داشت تا در ازای دریافت سهمی از درآمدهای غیرقانونی، با گروههای معروفی مانند NoEscape، RansomHouse و BlackCat همکاری کنند.
منبع: https://thehackernews.com/2024/09/ransomhub-ransomware-group-targets-210.html