Главная страница » IOC
0
3 дня
IOC

EDRKillShifter от RansomHub

security

Исследователи ESET отметили существенные изменения в экосистеме вымогательского ПО в 2024 году, особенно в отношении банды RansomHub, которая стала одной из ведущих на данный момент. Исследователи раскрывают неопубликованную информацию о структуре RansomHub и открывают ясные связи между этой новой бандой и другими уже известными группировками, такими как Play, Medusa и BianLian.

Описание

Они также обращают внимание на рост угрозы, связанной с EDR-убийцами, и разоблачают пользовательский EDR-убийца EDRKillShifter, разработанный и поддерживаемый RansomHub. Исследователи отмечают увеличение числа программ, связанных с вымогателями, которые используют общедоступные образцы кода, в то время как использование драйверов для злоупотреблений остается стабильным.

Кроме того, исследователи предлагают свои рекомендации в отношении операции Cronos, проводимой правоохранительными органами, и разрушения известной банды BlackCat. Они также предлагают свои рассуждения по поводу помощи в интенсивной борьбе с программами-вымогателями.

Однако основной фокус исследования ESET - это RansomHub, новая RaaS-банда, которая появилась примерно во время операции Cronos. Они подробно анализируют деятельность RansomHub и устанавливают связи между этой бандой и ее конкурентами, включая Play, Medusa и BianLian.

Исследователи представляют модель RansomHub в виде операторов, которые разрабатывают полезную нагрузку ransomware и предлагают ее аффилированным лицам, а также аффилированных лиц, которые берут в аренду услуги вымогательства и размещают шифровальщиков в сетях жертв. Они подчеркивают роль RansomHub как доминирующего игрока в области программ-вымогателей, превосходящего даже таких известных противников, как LockBit и BlackCat.

Indicators of Compromise

IPv4

  • 130.185.75.198
  • 149.154.158.222
  • 45.32.206.169
  • 45.32.210.151
  • 79.124.58.130
  • 92.243.64.200

SHA1

  • 046583deb4b418a6f1d8ded8bed9886b7088f338
  • 180d770c4a55c62c09aad1fc3412132d87af5cf6
  • 2e89cf3267c8724002c3c89be90874a22812efc6
  • 3b035da6c69f9b05868ffe55d7a267d098c6f290
  • 3b4aedafa9930c19ea889723861bf95253b0ed80
  • 460d7cb14fced78c701e7668c168cf07bce94ba1
  • 5af059c44d6ac8ef92aa458c5ed77f68510f92cd
  • 5ecaff68d36ec10337428267d05cd3cb632c0444
  • 67d17ca90880b448d5c3b40f69cec04d3649f170
  • 77daf77d9d2a08cc22981c004689b870f74544b5
  • 87d0f168f049befe455d5b702852ffb7852e7df6
  • 97e13515263002809505dc913b04b49aeb78b067
  • bf84712c5314df2aa851b8d4356ea51a9ad50257
  • dcf711141d6033df4c9149930b0e1078c3b6d156
  • dd6fa8a7c1b3e009f5f17176252de5acabd0fb86
  • e38082ae727aeaef4f241a1920150fdf6f149106
  • fda5aac0c0db36d173b88ec9ded8d5ef1727b3e2
Комментарии: 0
Похожие записи
0
1 день
IOC

Партнеры Qilin атаковали администратора MSP ScreenConnect, нацеливаясь на клиентов.

security
В январе 2025 года администратор поставщика управляемых услуг (MSP) получил фишинговое письмо, представлявшее собой предупреждение об аутентификации для удаленного мониторинга и управления (RMM) инструмента ScreenConnect.
1
6 дней
IOC

Исследователи ESET раскрыли набор инструментов, используемых APT-группой FamousSparrow

security
В июле 2024 года исследователи ESET Research обнаружили, что кибершпионская группа FamousSparrow скомпрометировала систему одной из торговых групп в США, работающей в финансовом секторе.