Tomcat
Professional
- Messages
- 2,689
- Reaction score
- 912
- Points
- 113
Анализ зарождающейся разновидности вымогателей под названием RansomHub показал, что это обновленная и переименованная версия Knight ransomware, которая сама по себе является развитием другой программы-вымогателя, известной как Cyclops.
Программа-вымогатель Knight (она же Cyclops 2.0) впервые появилась в мае 2023 года, используя тактику двойного вымогательства для кражи и шифрования данных жертв с целью получения финансовой выгоды. Она работает на нескольких платформах, включая Windows, Linux, macOS, ESXi и Android.
Было обнаружено, что рекламируемая и продаваемая на форуме по киберпреступности RAMP программа-вымогатель использует фишинговые кампании в качестве вектора распространения в виде вредоносных вложений.
С конца февраля 2024 года операция ransomware-as-a-service (RaaS) была прекращена, когда ее исходный код был выставлен на продажу, что повышает вероятность того, что он мог перейти из рук в руки другого участника, который впоследствии решил обновить и перезапустить его под брендом RansomHub.
RansomHub, опубликовавший информацию о своей первой жертве в том же месяце, был связан с серией атак вымогателей в последние недели, включая атаки на Change Healthcare, Christie's и Frontier Communications. Он также пообещал воздерживаться от атак на организации в странах Содружества Независимых Государств (СНГ), Кубе, Северной Корее и Китае.
"Обе полезные программы написаны на Go, и большинство вариантов каждого семейства скрыты с помощью Gobfuscate", - сказала Symantec, часть Broadcom, в отчете, опубликованном в Hacker News. "Степень совпадения кодов между двумя семействами значительна, что очень затрудняет их разграничение".
Обе программы используют идентичные меню справки в командной строке, при этом RansomHub добавляет новую опцию "sleep", которая переводит ее в режим ожидания на определенный период времени (в минутах) перед запуском. Аналогичные команды на сон наблюдались в семействах программ-вымогателей Chaos / Yashma и Trigona.
Совпадения между Knight и RansomHub также распространяются на технику запутывания, используемую для кодирования строк, уведомления о выкупе, удаляемые после шифрования файлов, и их способность перезапускать хост в безопасном режиме перед началом шифрования.
Единственным основным отличием является набор команд, выполняемых через cmd.exe, хотя "способ и порядок, в котором они вызываются относительно других операций, те же", - заявили в Symantec.
Были замечены атаки RansomHub с использованием известных недостатков безопасности (например, ZeroLogon) для получения начального доступа и удаления программного обеспечения для удаленного рабочего стола, такого как Atera и Splashtop, до развертывания программы-вымогателя.
Согласно статистике, которой поделился Malwarebytes, семейство программ-вымогателей было причастно к 26 подтвержденным атакам только в апреле 2024 года, что ставит его позади Play, Hunters International, Black Basta и LockBit.
Компания Mandiant, принадлежащая Google, в отчете, опубликованном на этой неделе, показала, что RansomHub пытается привлечь партнеров, на которых повлияли недавние отключения или мошеннические операции с выходом, такие как LockBit и BlackCat.
"Один бывший филиал Noberus, известный как Notchy, теперь по имеющимся сведениям, работает с RansomHub", - заявили в Symantec. В дополнение к этому, в недавней атаке RansomHub использовались инструменты, ранее связанные с другим филиалом Noberus, известным как Scattered Spider.
"Скорость, с которой RansomHub наладил свой бизнес, позволяет предположить, что группа может состоять из опытных операторов с опытом и связями в киберподполье".
Разработка происходит на фоне увеличения активности программ-вымогателей в 2023 году по сравнению с "небольшим спадом" в 2022 году, несмотря на то, что примерно треть из 50 новых семейств, наблюдавшихся в течение года, оказались вариантами ранее выявленных семейств программ-вымогателей, что указывает на растущую распространенность повторного использования кода, дублирования действующих лиц и ребрендинга.
"Почти в трети инцидентов программа-вымогатель была запущена в течение 48 часов после первоначального доступа злоумышленника", - сообщили исследователи Mandiant. "Семьдесят шесть процентов (76%) внедрений программ-вымогателей имели место в нерабочее время, причем большинство из них происходило ранним утром".
Для этих атак также характерно использование коммерчески доступных и законных инструментов удаленного рабочего стола для облегчения операций вторжения, в отличие от использования Cobalt Strike.
"Наблюдаемый рост зависимости от законных инструментов, вероятно, отражает усилия злоумышленников скрыть свои операции от механизмов обнаружения и сократить время и ресурсы, необходимые для разработки и обслуживания пользовательских инструментов", - сказал Мандиант.
Рост числа атак программ-вымогателей последовал за появлением новых вариантов программ-вымогателей, таких как BlackSuit, Fog и ShrinkLocker, в последнем из которых был замечен скрипт на Visual Basic (VBScript), использующий преимущества собственной утилиты BitLocker от Microsoft для несанкционированного шифрования файлов в атаках с целью вымогательства, нацеленных на Мексику, Индонезию и Иорданию.
ShrinkLocker назван так из-за своей способности создавать новый загрузочный раздел, уменьшая размер каждого доступного не загрузочного раздела на 100 МБ, превращая нераспределенное пространство в новый основной раздел и используя его для переустановки загрузочных файлов, чтобы включить восстановление.
"Этот субъект угрозы хорошо понимает язык VBScript, а также внутренние компоненты и утилиты Windows, такие как WMI, diskpart и bcdboot", - сказал Касперский в своем анализе ShrinkLocker, отметив, что они, вероятно, "уже имели полный контроль над целевой системой на момент выполнения сценария".
Программа-вымогатель Knight (она же Cyclops 2.0) впервые появилась в мае 2023 года, используя тактику двойного вымогательства для кражи и шифрования данных жертв с целью получения финансовой выгоды. Она работает на нескольких платформах, включая Windows, Linux, macOS, ESXi и Android.
Было обнаружено, что рекламируемая и продаваемая на форуме по киберпреступности RAMP программа-вымогатель использует фишинговые кампании в качестве вектора распространения в виде вредоносных вложений.
С конца февраля 2024 года операция ransomware-as-a-service (RaaS) была прекращена, когда ее исходный код был выставлен на продажу, что повышает вероятность того, что он мог перейти из рук в руки другого участника, который впоследствии решил обновить и перезапустить его под брендом RansomHub.
RansomHub, опубликовавший информацию о своей первой жертве в том же месяце, был связан с серией атак вымогателей в последние недели, включая атаки на Change Healthcare, Christie's и Frontier Communications. Он также пообещал воздерживаться от атак на организации в странах Содружества Независимых Государств (СНГ), Кубе, Северной Корее и Китае.
"Обе полезные программы написаны на Go, и большинство вариантов каждого семейства скрыты с помощью Gobfuscate", - сказала Symantec, часть Broadcom, в отчете, опубликованном в Hacker News. "Степень совпадения кодов между двумя семействами значительна, что очень затрудняет их разграничение".
Обе программы используют идентичные меню справки в командной строке, при этом RansomHub добавляет новую опцию "sleep", которая переводит ее в режим ожидания на определенный период времени (в минутах) перед запуском. Аналогичные команды на сон наблюдались в семействах программ-вымогателей Chaos / Yashma и Trigona.
Совпадения между Knight и RansomHub также распространяются на технику запутывания, используемую для кодирования строк, уведомления о выкупе, удаляемые после шифрования файлов, и их способность перезапускать хост в безопасном режиме перед началом шифрования.
Единственным основным отличием является набор команд, выполняемых через cmd.exe, хотя "способ и порядок, в котором они вызываются относительно других операций, те же", - заявили в Symantec.
Были замечены атаки RansomHub с использованием известных недостатков безопасности (например, ZeroLogon) для получения начального доступа и удаления программного обеспечения для удаленного рабочего стола, такого как Atera и Splashtop, до развертывания программы-вымогателя.
Согласно статистике, которой поделился Malwarebytes, семейство программ-вымогателей было причастно к 26 подтвержденным атакам только в апреле 2024 года, что ставит его позади Play, Hunters International, Black Basta и LockBit.
Компания Mandiant, принадлежащая Google, в отчете, опубликованном на этой неделе, показала, что RansomHub пытается привлечь партнеров, на которых повлияли недавние отключения или мошеннические операции с выходом, такие как LockBit и BlackCat.
"Один бывший филиал Noberus, известный как Notchy, теперь по имеющимся сведениям, работает с RansomHub", - заявили в Symantec. В дополнение к этому, в недавней атаке RansomHub использовались инструменты, ранее связанные с другим филиалом Noberus, известным как Scattered Spider.
"Скорость, с которой RansomHub наладил свой бизнес, позволяет предположить, что группа может состоять из опытных операторов с опытом и связями в киберподполье".
Разработка происходит на фоне увеличения активности программ-вымогателей в 2023 году по сравнению с "небольшим спадом" в 2022 году, несмотря на то, что примерно треть из 50 новых семейств, наблюдавшихся в течение года, оказались вариантами ранее выявленных семейств программ-вымогателей, что указывает на растущую распространенность повторного использования кода, дублирования действующих лиц и ребрендинга.
"Почти в трети инцидентов программа-вымогатель была запущена в течение 48 часов после первоначального доступа злоумышленника", - сообщили исследователи Mandiant. "Семьдесят шесть процентов (76%) внедрений программ-вымогателей имели место в нерабочее время, причем большинство из них происходило ранним утром".
Для этих атак также характерно использование коммерчески доступных и законных инструментов удаленного рабочего стола для облегчения операций вторжения, в отличие от использования Cobalt Strike.
"Наблюдаемый рост зависимости от законных инструментов, вероятно, отражает усилия злоумышленников скрыть свои операции от механизмов обнаружения и сократить время и ресурсы, необходимые для разработки и обслуживания пользовательских инструментов", - сказал Мандиант.
Рост числа атак программ-вымогателей последовал за появлением новых вариантов программ-вымогателей, таких как BlackSuit, Fog и ShrinkLocker, в последнем из которых был замечен скрипт на Visual Basic (VBScript), использующий преимущества собственной утилиты BitLocker от Microsoft для несанкционированного шифрования файлов в атаках с целью вымогательства, нацеленных на Мексику, Индонезию и Иорданию.
ShrinkLocker назван так из-за своей способности создавать новый загрузочный раздел, уменьшая размер каждого доступного не загрузочного раздела на 100 МБ, превращая нераспределенное пространство в новый основной раздел и используя его для переустановки загрузочных файлов, чтобы включить восстановление.
"Этот субъект угрозы хорошо понимает язык VBScript, а также внутренние компоненты и утилиты Windows, такие как WMI, diskpart и bcdboot", - сказал Касперский в своем анализе ShrinkLocker, отметив, что они, вероятно, "уже имели полный контроль над целевой системой на момент выполнения сценария".
