RansomHub появился в начале 2024 года, одновременно с закрытием операций группы ALPHV, и запустил партнерскую программу, привлекая аффилированных лиц из разоренных групп ALPHV и LockBit. Операторы RansomHub активно искали новых членов через подпольные форумы. Для ускорения своей работы они приобрели исходный код и веб-приложение у группы Knight (ранее Cyclops), которая занималась разработкой вымогательского ПО.
RansomHub Ransomware
Несмотря на отсутствие значительных нововведений, RansomHub все же демонстрировал инновации. В июле 2024 года группа анонсировала новую версию ransomware, способную удаленно шифровать данные по протоколу SFTP. Это было сделано всего несколько недель после публикации отчетов о группе со стороны компаний, занимающихся кибербезопасностью.
RansomHub проявил адаптивность в своих операциях, используя непропатченные уязвимости, передовые методы разведки и автоматизацию для увеличения масштабов своих действий. Они также использовали инструменты, такие как PCHunter для обхода систем защиты и Filezilla для эксфильтрации данных. Группа раскрыла информацию о 44 медицинских компаниях и могла угрожать и сообщать о киберинцидентах регулирующим органам.
RansomHub стал значимой угрозой в современном киберпространстве и продолжает развиваться, проявляя адаптивность и инновации. Эта статья будет полезна для аналитиков по кибербезопасности, команд безопасности корпораций, специалистов по анализу угроз, киберрасследователей, команд по реагированию на компьютерные чрезвычайные ситуации и правоохранительных органов.
Indicators of Compromise
MD5
- 271c4158f9a807fd92bfe65bbd4744cf
- 2b7a13837039f4f5ff6aeaa0b135e712
- 35353c1c33c6e8a9c5944ae1b1541512
- 389c64831dd5d409153eaf352f5537e1
- 4b194e9b87c14d1c24aa0603b5bae00f
- 4c6616c79ef2904b238dd9ed45ac6054
- 53987a86915d63db7c70998957d5a58d
- 7ea71f9c62e5067da16df949542148da
- c618c943840269eb753cb389029d331c
