Заплахи, свързани с групата RansomHub, са криптирали и ексфилтрирали данни от поне 210 жертви от създаването ѝ през февруари 2024 г., съобщи правителството на САЩ.

Жертвите обхващат различни сектори, включително водоснабдяване и канализация, информационни технологии, правителствени услуги и съоръжения, здравеопазване и обществено здраве, спешни услуги, храни и селско стопанство, финансови услуги, търговски съоръжения, критична производствена, транспортна и комуникационна критична инфраструктура.

„RansomHub е вариант на рансъмуер като услуга – по-рано известен като Cyclops и Knight – който се е утвърдил като ефективен и успешен модел на услуга (напоследък привлича високопоставени партньори от други известни варианти като LockBit и ALPHV)“, казват правителствените агенции.

Вариант на ransomware-as-a-service (RaaS), който е потомък на Cyclops и Knight, операцията за електронна престъпност е привлякла високопоставени филиали от други известни варианти като LockBit и ALPHV (известен още като BlackCat) след неотдавнашната вълна от действия на правоприлагащите органи.

В анализ, публикуван в края на миналия месец, ZeroFox посочва, че активността на RansomHub като дял от цялата дейност на ransomware, наблюдавана от доставчика на киберсигурност, е във възходяща тенденция, като представлява приблизително 2 % от всички атаки през първото тримесечие на 2024 г., 5,1 % през второто тримесечие и 14,2 % досега през третото тримесечие.

„Приблизително 34% от атаките на RansomHub са били насочени към организации в Европа, в сравнение с 25% в целия пейзаж на заплахите“, отбеляза компанията.

Известно е, че групата използва модела на двойното изнудване за ексфилтриране на данни и криптиране на системи с цел изнудване на жертвите, които са призовани да се свържат с операторите чрез уникален URL адрес .onion. Набелязаните компании, които отказват да се съгласят с искането за откуп, публикуват информацията си на сайта за изтичане на данни за период от три до 90 дни.

Първоначалният достъп до средите на жертвите се улеснява чрез използване на известни уязвимости в сигурността на устройствата Apache ActiveMQ (CVE-2023-46604), Atlassian Confluence Data Center and Server (CVE-2023-22515), Citrix ADC (CVE-2023-3519), F5 BIG-IP (CVE-2023-46747), Fortinet FortiOS (CVE-2023-27997) и Fortinet FortiClientEMS (CVE-2023-48788) и др.

Тази стъпка е успешна за филиалите, които провеждат разузнаване и сканиране на мрежата с помощта на програми като AngryIPScanner, Nmap и други методи за живеене на земята (LotL). Атаките на RansomHub включват още обезвреждане на антивирусен софтуер с помощта на персонализирани инструменти, за да се скрият под радара.

„След първоначалния достъп свързаните с RansomHub лица създават потребителски акаунти за постоянство, активират отново деактивираните акаунти и използват Mimikatz в системите Windows, за да съберат пълномощия [T1003] и да увеличат привилегиите си до SYSTEM“, се казва в препоръката на правителството на САЩ.

„След това филиалите се придвижват странично в мрежата чрез методи, включващи Remote Desktop Protocol (RDP), PsExec, AnyDesk, Connectwise, N-Able, Cobalt Strike, Metasploit или други широко използвани методи за командване и контрол (C2).“

Друг забележителен аспект на атаките на RansomHub е използването на периодично криптиране за ускоряване на процеса, като ексфилтрацията на данни се наблюдава чрез инструменти като PuTTY, кофи Amazon AWS S3, HTTP POST заявки, WinSCP, Rclone, Cobalt Strike, Metasploit и други методи.

Разработката идва в момент, в който отдел 42 на Palo Alto Networks разопакова тактиките, свързани с рансъмуера ShinyHunters, който проследява като Bling Libra, подчертавайки преминаването му към изнудване на жертвите за разлика от традиционната му тактика на продажба или публикуване на откраднати данни. Извършителят на заплахата се появява за първи път през 2020 г.

„Групата се сдобива с легитимни пълномощия, получени от публични хранилища, за да получи първоначален достъп до средата на Amazon Web Services (AWS) на дадена организация“, казват изследователите по сигурността Маргарет Цимерман и Чандни Вая.

„Въпреки че разрешенията, свързани с компрометираните пълномощия, ограничават въздействието на пробива, Bling Libra прониква в средата AWS на организацията и провежда разузнавателни операции. Групата хакери е използвала инструменти като Amazon Simple Storage Service (S3) Browser и WinSCP, за да събере информация за конфигурациите на кофите S3, да получи достъп до обекти S3 и да изтрие данни.“

Това следва и значителна еволюция в атаките с ransomware, които преминаха отвъд криптирането на файлове към прилагане на сложни, многостранни стратегии за изнудване, като дори се използват тройни и четворни схеми за изнудване, според SOCRadar.

„Тройното изнудване повишава залога, като заплашва с допълнителни средства за нарушаване на сигурността отвъд криптирането и ексфилтрацията“, казва компанията.

„Това може да включва провеждане на DDoS атака срещу системите на жертвата или разширяване на директните заплахи към клиентите, доставчиците или други сътрудници на жертвата, за да се нанесат допълнителни оперативни и репутационни щети на тези, които в крайна сметка са обект на схемата за изнудване.“

Четирикратното изнудване увеличава залога, като се свързва с трети страни, които имат бизнес отношения с жертвите, и ги изнудва, или заплашва жертвите да разкрият данни от трети страни, за да окажат допълнителен натиск върху жертвата да плати.

Доходното естество на моделите RaaS стимулира рязкото увеличаване на броя на новите варианти на рансъмуер като Allarich, Cronus, CyberVolk, Datablack, DeathGrip, Hawk Eye и Insom. Това е накарало ирански национални хакери да си сътрудничат с известни групи като NoEscape, RansomHouse и BlackCat в замяна на дял от незаконните приходи.