RansomHub Ransomware IOCs - II

Исследователи из Федерального бюро расследований (ФБР), Агентства по кибербезопасности и защите инфраструктуры (CISA), Многоштатного центра обмена информацией и анализа (MS-ISAC) и Министерства здравоохранения и социальных служб (HHS) определили, что вымогательское ПО RansomHub представляет собой серьезную угрозу.

Оглавление

RansomHub Ransomware

RansomHub, разновидность ransomware-as-a-service, с момента своего появления в феврале 2024 года атаковала сектора критической инфраструктуры и вывела данные по меньшей мере 210 жертв. Филиалы RansomHub используют модель двойного вымогательства, шифруя системы и удаляя данные, чтобы вымогать деньги у жертв. В записке с требованием выкупа, брошенной во время шифрования, не содержится первоначального требования выкупа, но жертвам предоставляется идентификатор клиента и инструкции для связи с группой вымогателей через уникальный URL-адрес .onion. В записке жертвам обычно дается от трех до 90 дней на оплату выкупа, прежде чем группа вымогателей опубликует их данные на сайте утечки данных RansomHub Tor.

Филиалы RansomHub обычно атакуют системы, выходящие в Интернет, и конечные точки пользователей, используя такие методы, как фишинговые письма, эксплуатация известных уязвимостей и подстановка паролей. Примечательно, что в методах эксплуатации были замечены специфические CVE, включая уязвимости в Citrix ADC, FortiOS, маршаллере протокола Java OpenWire, а также в экземплярах центра обработки данных и сервера Confluence. Попав в сеть, злоумышленники проводят сканирование сети, переименовывают исполняемый файл ransomware в безобидные имена файлов, очищают системные журналы и отключают антивирусные продукты. Они также создают учетные записи пользователей для сохранения, собирают учетные данные и перемещаются внутри сети различными методами. Среди наблюдаемых методов эксфильтрации данных - использование таких инструментов, как PuTTY, ведра/инструменты Amazon AWS S3 и HTTP POST-запросы. RansomHub ransomware использует алгоритм шифрования Elliptic Curve Encryption для шифрования доступных пользователю файлов в системе и пытается остановить определенные процессы для успешного шифрования файлов. Кроме того, ransomware удаляет теневые копии томов, что препятствует восстановлению системы.

Замечено, что злоумышленники используют для своих операций такие легитимные инструменты, как BITSAdmin и Cobalt Strike. Для различных вредоносных действий использовались Mimikatz, PSExec, PowerShell, RClone, Sliver, SMBExec, WinSCP, CrackMapExec, Kerberoast и AngryIPScanner. В статье также упоминаются индикаторы компрометации, включая IP-адреса, исторически связанные с QakBot, известные URL-адреса, связанные с вредоносной деятельностью, и электронные письма, связанные с RansomHub в 2023-2024 годах.

Indicators of Compromise

IPv4

188.34.188.7
193.106.175.107
193.124.125.78
193.233.254.21
45.134.140.69
45.135.232.2
45.95.67.41
8.211.2.97
89.23.96.203

URLs

http://188.34.188.7/555
http://188.34.188.7/555/amba16.ico
http://188.34.188.7/555/bcrypt.dll
http://188.34.188.7/555/CRYPTSP.dll
http://188.34.188.7/555/en
http://188.34.188.7/555/en-US
http://188.34.188.7/555/NEWOFFICIALPROGRAMCAUSEOFNEWUPDATE.exe
http://188.34.188.7/555/NEWOFFICIALPROGRAMCAUSEOFNEWUPDATE.exe.Config
http://188.34.188.7/555/NEWOFFICIALPROGRAMCAUSEOFNEWUPDATE.INI
http://89.23.96.203
http://89.23.96.203/333
http://89.23.96.203/333/1.exe
http://89.23.96.203/333/1.exe.Config
http://89.23.96.203/333/10.exe
http://89.23.96.203/333/12.exe
http://89.23.96.203/333/12.exe.Config
http://89.23.96.203/333/2.exe
http://89.23.96.203/333/2.exe.Config
http://89.23.96.203/333/2wrRR6sW6XJtsXyPzuhWhDG7qwN4es.exe
http://89.23.96.203/333/2wrRR6sW6XJtsXyPzuhWhDG7qwN4es.exe.Config
http://89.23.96.203/333/3.exe
http://89.23.96.203/333/3.exe.Config
http://89.23.96.203/333/4.exe
http://89.23.96.203/333/4.exe.Config
http://89.23.96.203/333/5.exe
http://89.23.96.203/333/5.exe.Config
http://89.23.96.203/333/6.exe
http://89.23.96.203/333/7.exe
http://89.23.96.203/333/8.exe
http://89.23.96.203/333/9.exe
http://89.23.96.203/333/92.exe
http://89.23.96.203/333/AmbaPDF.ico
http://89.23.96.203/333/ambapdf.ico.DLL
http://89.23.96.203/333/bcrypt.dll
http://89.23.96.203/333/Cabinet.dll
http://89.23.96.203/333/CRYPTBASE.DLL
http://89.23.96.203/333/cryptnet.dll
http://89.23.96.203/333/CRYPTSP.dll
http://89.23.96.203/333/cv4TCGxUjvS.exe
http://89.23.96.203/333/DPAPI.DLL
http://89.23.96.203/333/en
http://89.23.96.203/333/en/d%E5%AD%97%E5%AD%97.resources.dll
http://89.23.96.203/333/en/d%E5%AD%97%E5%AD%97.resources.exe
http://89.23.96.203/333/en/d%E5%AD%97%E5%AD%97.resources/d%E5%AD%97%E5%AD%97.resources.dll
http://89.23.96.203/333/en/d%E5%AD%97%E5%AD%97.resources/d%E5%AD%97%E5%AD%97.resources.exe
http://89.23.96.203/333/en-US
http://89.23.96.203/333/en-US/d%E5%AD%97%E5%AD%97.resources.dll
http://89.23.96.203/333/en-US/d%E5%AD%97%E5%AD%97.resources.exe
http://89.23.96.203/333/en-US/d%E5%AD%97%E5%AD%97.resources/d%E5%AD%97%E5%AD%97.resources.dll
http://89.23.96.203/333/en-US/d%E5%AD%97%E5%AD%97.resources/d%E5%AD%97%E5%AD%97.resources.exe
http://89.23.96.203/333/iertutil.dll
http://89.23.96.203/333/information.exe
http://89.23.96.203/333/information.exe.Config
http://89.23.96.203/333/information.INI
http://89.23.96.203/333/IPHLPAPI.DLL
http://89.23.96.203/333/mshtml.dll
http://89.23.96.203/333/msi.dll
http://89.23.96.203/333/SspiCli.dll
http://89.23.96.203/333/TmsLA6kdcU8jxKzpMvbUVweTeF5YcR.exe
http://89.23.96.203/333/TmsLA6kdcU8jxKzpMvbUVweTeF5YcR.exe.Config
http://89.23.96.203/333/urlmon.dll
http://89.23.96.203/333/USERENV.dll
http://89.23.96.203/333/webio.dll
http://89.23.96.203/333/winhttp.dll
http://89.23.96.203/333/WININET.dll
http://89.23.96.203/333/WINMM.dll
http://89.23.96.203/333/WINMMBASE.dll
http://89.23.96.203/333/winnlsres.dll
http://89.23.96.203/333/xwenxub285p83ecrzvft.exe
http://89.23.96.203/333/xwenxub285p83ecrzvft.exe.Config
http://samuelelena.co
http://samuelelena.co/npm
http://samuelelena.co/npm/module.external/client.min.js
http://samuelelena.co/npm/module.external/jquery.min.js
http://samuelelena.co/npm/module.tripadvisor/module.tripadvisor.js
http://samuelelena.co:443
http://temp.sh/KnCqD/superloop.exe
https://12301230.co/npm/module.external/client.min.js
https://12301230.co/npm/module.external/jquery.min.js
https://12301230.co/npm/module.external/moment.min.js
https://12301230.co/npm/module.tripadvisor/module.tripadvisor.css
https://12301230.co/npm/module.tripadvisor/module.tripadvisor.js
https://40031.co/npm/module.external/client.min.js
https://40031.co/npm/module.external/jquery.min.js
https://40031.co/npm/module.external/moment.min.js
https://40031.co/npm/module.tripadvisor/module.tripadvisor.css
https://40031.co/npm/module.tripadvisor/module.tripadvisor.js
https://grabify.link/Y33YXP
https://i.ibb.co/2KBydfw/112882618.png
https://i.ibb.co/4g6jH2J/2773036704.png
https://i.ibb.co/b1bZBpg/2615174623.png
https://i.ibb.co/Fxhyq6t/2077411869.png
https://i.ibb.co/HK0jV1G/534475006.png
https://i.ibb.co/nbMNnW4/2501108160.png
https://i.ibb.co/p1RCtpy/2681232755.png
https://i.ibb.co/SxQLwYm/1038436121.png
https://i.ibb.co/v1bn9ZK/369210627.png
https://i.ibb.co/V3Kj1c2/1154761258.png
https://i.ibb.co/X2FR8Kz/2113791011.png
https://i.ibb.com:443/V3Kj1c2/1154761258.png
https://samuelelena.co
https://samuelelena.co/np
https://samuelelena.co/npm
https://samuelelena.co/npm/module.external
https://samuelelena.co/npm/module.external/client.min.js
https://samuelelena.co/npm/module.external/jquery.min.js
https://samuelelena.co/npm/module.external/jquery.min.js
https://samuelelena.co/npm/module.external/moment.min.js
https://samuelelena.co/npm/module.tripadvisor/module.tripadvisor.
https://samuelelena.co/npm/module.tripadvisor/module.tripadvisor.js