RansomHub, платформа RaaS (ransomware-as-a-service), набирает обороты среди киберпреступников, особенно среди угрожающей группы ShadowSyndicate. За последние месяцы эта платформа значительно выросла, что привело к увеличению числа потенциальных компромиссов. В этой статье рассматривается расширение присутствия RansomHub, тактика, методы и процедуры (TTP), используемые ее филиалами, а также более широкие последствия для организаций, стремящихся защитить свои системы.
Описание
Одной из заметных угрожающих групп, которая перешла от операций, связанных с ALPHV (BlackCat), к операциям RansomHub, является ScatteredSpider. Переход ScatteredSpider и других преступников на RansomHub свидетельствует о возможной смене власти среди угрожающих групп: все больше киберпреступников предпочитают использовать RansomHub, а не вредоносное ПО ALPHV, на которое ранее полагались. На решение перейти с ALPHV на RansomHub, вероятно, повлияла неспособность получить выкуп в ходе предыдущей атаки на Change Healthcare в феврале 2024 года с использованием штамма ALPHV. Кроме того, закрытие LockBit и его филиалов в результате операции Cronos также сыграло свою роль в появлении RansomHub в качестве заметного преемника RaaS.
RansomHub был замечен в атаках на различные сектора, включая критически важную инфраструктуру, финансовые и государственные услуги, а также здравоохранение. Группа использует варианты ransomware, написанные на языке программирования GoLang, для атак на системы Windows и Linux. Примечательно, что RansomHub использует двойные атаки-вымогатели, шифруя данные с помощью шифрования «Curve25519».
Тактика и методы, применяемые RansomHub, включают в себя сочетание фишинговых атак, социальной инженерии и использования легитимных инструментов. Такие инструменты, как Atera и Splashtop, используются для удаленного доступа, а NetScan обнаруживает и собирает информацию о сетевых устройствах. Исследователи также обнаружили, что RansomHub использует несколько легитимных инструментов в рамках тактики Living-off-the-Land (LOTL), чтобы избежать обнаружения, включая SecretServerSecretStealer, скрипт PowerShell для расшифровки паролей, Ngrok, легитимный инструмент обратного прокси, используемый для бокового перемещения и утечки данных, и Remmina, клиент удаленного рабочего стола с открытым исходным кодом для доступа к удаленным сервисам.
В последние месяцы Центр управления безопасностью (SOC) компании Darktrace обнаружил несколько случаев вероятной активности RansomHub в своей клиентской базе. Эти инциденты были отмечены сканированием и брутфорсом. В одной из подтвержденных атак RansomHub в январе 2025 года Darktrace Threat Research выявила несколько попыток аутентификации, когда злоумышленники пытались получить действительные учетные данные. Вполне вероятно, что злоумышленники получали доступ к клиентским средам через уязвимости веб-сервера Remote Desktop (RD), а затем выполняли различные RDP-подключения к другим устройствам в сети.
Общим для всех расследованных случаев было наличие исходящих соединений с splashtop[.]com, службой удаленного доступа и поддержки. В сети одного из клиентов это же устройство также подключалось к доменам agent-api[.]atera[.]com и IP 20.37.139[.]187, которые, по-видимому, связаны с Atera, инструментом удаленного мониторинга и управления (RMM).
Indicators of Compromise
IPv4
- 108.157.150.120
- 20.37.139.187
- 38.244.145.85
Domains
- agent-api.atera.com
- ps.atera.com
- st-v3-univ-srs-win-3720.api.splashtop.com
