RansomHub: Den nye spiller på banen
En nyligt fremkommen ransomware-gruppe, RansomHub, har i 2024 rettet angreb mod 600 organisationer verden over og har hurtigt etableret sig som en ”betydelig trussel”, efter at de tidligere dominerende grupper ALPHV og LockBit fik nedtaget størstedelen af deres operationelle kapacitet i starten af året.
Det skriver Hackread.com på baggrund af en rapport fra Group-IB.
Strategisk rekruttering og teknologisk alsidighed
RansomHub har været aktiv på undergrundsfora som RAMP, hvor de rekrutterer folk fra de opløste ransomware-grupperinger. Dette har øget deres rækkevidde og indflydelse, fremgår det. Yderligere undersøgelser indikerer, at RansomHub sandsynligvis har købt deres ransomware- og webapplikationskildekode fra Knight-gruppen, som også er kendt som Cyclops.
Verden af cyberkriminelle er indbyrdes forbundne.
RansomHUBs ransomware er angiveligt designet til at være kompatibel på tværs af platforme og retter sig mod forskellige operativsystemer og arkitekturer, herunder Windows, ESXi, Linux og FreeBSD. Dette gør, at gruppens potentielle mål næsten er uendeligt i antal.
Avancerede angrebsteknikker og hurtig udnyttelse af sårbarheder
RansomHub anvender avancerede teknikker, såsom udnyttelse af 0-dagssårbarheder og brug af værktøjer som PCHunter til at omgå endpoint-sikkerhedsløsninger. Nyopdagede sårbarheder udnyttes hurtugt, ofte hurtigere end organisationer kan nå at patche systemerne. Gruppen kan også håndtere traditionelle angrebsmetoder, såsom brute-force angreb mod VPN-tjenester.
Angrebsforløb: Fra indtrængen til afpresning
Fremgangsmåden for gruppen er rimelig klassisk. Udnyttelse af sårbarheder skaber mulighed for en indledende rekognoscering og etablering af vedvarende adgang i det kompromitterede netværk. Derefter fortsætter de deres research for at identificere og skabe sig adgang til kritiske aktiver som NAS- og backupsystemer. Dataeksfiltration er målet, som det også er for andre ransomwareaktører, og værktøjer som FileZilla bruges til at overføre følsomme oplysninger til eksterne C2-servere.
Den afsluttende fase af et RansomHub-angreb involverer typisk kryptering af data og afpresning. De deaktiverer backup-tjenester og implementerer ransomware for at gøre data utilgængelige, hvilket lammer den berørte organisation effektivt. Ransomwaren har det der ses som avancerede funktioner, herunder evnen til at afslutte virtuelle maskiner, slette skyggekopier og rydde systemets hændelseslogfiler. Denne omfattende tilgang sigter mod at maksimere angrebets effekt og øge sandsynligheden for at gruppen får udbetalt den krævede løsesum.
Global rækkevidde og sektoroverskridende påvirkning
RansomHub har som nævnt rettet sine angreb mod over 600 organisationer verden over, og de angrebne sektorer er sundhed, finans, offentlige institutioner og kritisk infrastruktur. Dette gør gruppen den mest aktive ransomware-gruppe i 2024.
Ja, verden glædede sig over nedtagningen af LockBit og AlphaV, men det var desværre for tidligt.