RansomHub, новый сервис Ransomware-as-a-Service (RaaS), быстро превратился в одну из основных угроз, связанных с вымогательством. Анализ, проведенный Symantec, показывает, что RansomHub, скорее всего, является развитой и ребрендированной версией старой программы Knight ransomware. Обе программы имеют значительную степень сходства: они написаны на языке Go и используют Gobfuscate для обфускации, а значительное дублирование кода делает их трудноразличимыми без специальных индикаторов, таких как встроенные ссылки.
Исходный код Knight был продан на подпольных форумах в начале 2024 года после того, как его создатели свернули свою деятельность. Эта продажа, вероятно, привела к разработке RansomHub другими лицами. И Knight, и RansomHub используют уникальный метод обфускации строк, при котором важные строки кодируются уникальными ключами и расшифровываются во время выполнения программы.
Заметки о выкупе обоих семейств вымогателей содержат множество одинаковых фраз, что говорит о минимальных изменениях в оригинальном тексте. Ключевой особенностью обеих программ является возможность перезапуска конечной точки в безопасном режиме перед началом шифрования - этот прием также используется в Snatch ransomware. Однако в Snatch отсутствуют настраиваемые команды и обфускация, присутствующие в Knight и RansomHub.
Недавние атаки на RansomHub использовали уязвимость Zerologon (CVE-2020-1472) для получения привилегий администратора домена. Злоумышленники использовали такие инструменты двойного назначения, как Atera и Splashtop для удаленного доступа и NetScan для разведки сети. Они использовали инструменты командной строки IIS для остановки работы Internet Information Services.
Быстрый рост RansomHub, несмотря на то, что он появился только в феврале 2024 года, можно объяснить тем, что он привлек бывшие филиалы других известных групп, занимающихся разработкой вымогательского ПО, таких как Noberus. По мнению Symantec, такое быстрое создание говорит о том, что RansomHub управляется опытными киберпреступниками, имеющими значительные связи в подполье.
Indicators of Compromise
SHA256
- 02e9f0fbb7f3acea4fcf155dc7813e15c1c8d1c77c3ae31252720a9fa7454292
- 104b22a45e4166a5473c9db924394e1fe681ef374970ed112edd089c4c8b83f2
- 2f3d82f7f8bd9ff2f145f9927be1ab16f8d7d61400083930e36b6b9ac5bbe2ad
- 34e479181419efd0c00266bef0210f267beaa92116e18f33854ca420f65e2087
- 36e5be9ed3ec960b40b5a9b07ba8e15d4d24ca6cd51607df21ac08cda55a5a8e
- 595cd80f8c84bc443eff619add01b86b8839097621cdd148f30e7e2214f2c8cb
- 7114288232e469ff368418005049cf9653fe5c1cdcfcd63d668c558b0a3470f2
- 7539bd88d9bb42d280673b573fc0f5783f32db559c564b95ae33d720d9034f5a
- 8f59b4f0f53031c555ef7b2738d3a94ed73568504e6c07aa1f3fa3f1fd786de7
- a96a0ba7998a6956c8073b6eff9306398cc03fb9866e4cabf0810a69bb2a43b2
- e654ef69635ab6a2c569b3f8059b06aee4bce937afb275ad4ec77c0e4a712f23
- ea9f0bd64a3ef44fe80ce1a25c387b562a6b87c4d202f24953c3d9204386cf00
- f1a6e08a5fd013f96facc4bb0d8dfb6940683f5bdfc161bd3a1de8189dea26d3
- fb9f9734d7966d6bc15cce5150abb63aadd4223924800f0b90dc07a311fb0a7e
