RansomHub Ransomware IOCs - Part 3

ransomware IOC

Компания Darktrace в период с сентября по октябрь 2024 года провела исследование нескольких клиентских сетей, которые были атакованы группой RansomHub. Далее проведенный анализ показал связь между RansomHub и группой ShadowSyndicate.

RansomHub Ransomware

ShadowSyndicate, также известный как Infra Storm, сотрудничает с различными группами программ для борьбы с вымогательством и использует такие инструменты, как Cobalt Strike и вредоносное ПО Matanbuchus. RansomHub, считающийся оператором Ransomware-as-a-Service (RaaS), был замечен после того, как ФБР уничтожило группу LockBit. RansomHub привлекал внимание потенциальных партнеров, предлагая выгодные условия, и поглотил бывших членов ALPHV и LockBit. ShadowSyndicate использовал при своих атаках вымогательское ПО RansomHub.

Периодический анализ Darktrace позволил выявить связь между ShadowSyndicate и RansomHub. ShadowSyndicate начала использовать RansomHub из-за его выгодных ставок - до 90% выкупа для филиалов, что выше рыночной ставки. В ходе атак на пораженные устройства записывались выкупные записки с угрозой публикации украденных данных, если не будет заплачен выкуп. Было обнаружено, что внешние конечные точки, на которые передавались данные, совпадали с серверами, связанными с деятельностью ShadowSyndicate.

Darktrace исследовала четыре отдельных инцидента атак ShadowSyndicate, использующих RansomHub. Атаки начинались с внутренней разведки, где агенты сканировали и перечисляли сетевые данные по ключевым портам. Затем проводились необычные подключения к конечным точкам, связанным с Splashtop, и наблюдались исходящие SSH-соединения с внешним IP-адресом, связанным с инфраструктурой ShadowSyndicate. Были обнаружены попытки эксфильтрации данных через SSH-протокол.

Таким образом, анализ Darktrace подтвердил связь между группой ShadowSyndicate и оператором RansomHub, а также выявил тактики, используемые при атаках. Эти атаки включали в себя внутреннюю разведку, шифрование файлов и эксфильтрацию данных.

Indicators of Compromise

IPv4

  • 103.253.40.87
  • 104.226.39.18
  • 108.181.182.143
  • 185.206.24.31
  • 185.65.212.164
  • 31.216.148.33
  • 46.161.27.151
  • 66.203.125.21
  • 83.97.73.198
  • 89.44.168.207

Domains

  • *.relay.splashtop.com
  • ams-rb9a-ss.ams.efscloud.net
  • gfs***n***.userstorage.mega.co.nz
  • w.api.mega.co.nz
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий