RansomHub ransomware
Los analistas de ciberseguridad han descubierto una nueva cepa de ransomware llamada RansomHub. Según los informes, los ciberdelincuentes detrás de esto afirman que no apuntarán a entidades de los países de la Comunidad de Estados Independientes (CEI), Cuba, Corea del Norte y China. A pesar de esta declaración, han estado infectando activamente a varias organizaciones destacadas en un corto período de tiempo. Entre sus víctimas se encuentran Change Healthcare, Christie's y Frontier Communications. En particular, los investigadores destacan que RansomHub tiene un parecido significativo con Knight Ransomware , que es una iteración del ransomware previamente identificado llamado Cyclops .
Tabla de contenido
El código Knight Ransomware se puso a la venta para todos los ciberdelincuentes
Knight Ransomware, también conocido como Cyclops 2.0, surgió en mayo de 2023 y utiliza técnicas de doble extorsión para robar y cifrar los datos de las víctimas con fines de lucro. Es capaz de funcionar en varias plataformas, incluidas Windows, Linux, macOS, ESXi y Android.
Vendidos en el foro de cibercrimen RAMP, los ataques con este ransomware a menudo se basaban en tácticas de phishing y phishing, utilizando archivos adjuntos fraudulentos para su distribución. La operación de ransomware como servicio (RaaS) cesó a finales de febrero de 2024 y su código fuente se puso a la venta. Este movimiento planteó la posibilidad de una transferencia a un nuevo actor, quien pudo haberlo actualizado y relanzado bajo el nombre de RansomHub.
Superposiciones significativas entre RansomHub y Knight Ransomware
Ambas cepas de ransomware están escritas en Go y la mayoría de las versiones de cada familia están ofuscadas con Gobfuscate. Existe un grado significativo de similitud de código entre los dos, lo que dificulta distinguirlos.
Ambas familias de ransomware comparten menús de ayuda idénticos en la interfaz de línea de comandos. Sin embargo, RansomHub introduce una nueva opción de "suspensión", que le permite permanecer inactivo durante un período específico (en minutos) antes de ejecutarse. Se han observado comandos de suspensión similares en otras amenazas como Chaos / Yashma y Trigona Ransomware.
Las similitudes entre Knight y RansomHub se extienden a las técnicas de ofuscación utilizadas para codificar cadenas, el contenido de las notas de rescate dejadas después de cifrar archivos y su capacidad para reiniciar un host en modo seguro antes de que comience el cifrado.
La principal diferencia radica en el conjunto de comandos ejecutados a través de cmd.exe, aunque su secuencia y ejecución en relación con otras operaciones siguen siendo las mismas.
El RansomHub Ransomware puede ser operado por ciberdelincuentes veteranos
Se han observado ataques de RansomHub que aprovechan vulnerabilidades de seguridad conocidas (como ZeroLogon ) para obtener acceso inicial. Eliminan software de escritorio remoto como Atera y Splashtop antes de implementar ransomware. Sólo en abril de 2024, casi 30 ataques confirmados se han relacionado con esta cepa de ransomware.
Los investigadores sospechan que RansomHub está buscando activamente afiliados afectados por cierres recientes o tácticas de salida, como los de LockBit y BlackCat (también conocidos como ALPHV y Noberus). Se cree que una antigua filial de Noberus llamada Notchy podría estar colaborando ahora con RansomHub. Además, en un reciente ataque de RansomHub se utilizaron herramientas previamente asociadas con otra filial de Noberus, Scattered Spider.
La rápida expansión de las operaciones de RansomHub sugiere que el grupo puede estar compuesto por operadores experimentados con experiencia y conexiones en el mundo cibernético.
Los ataques de ransomware están aumentando nuevamente
El desarrollo de RansomHub se produce en medio de un aumento de la actividad de ransomware en 2023, tras una ligera disminución en 2022. Curiosamente, alrededor de un tercio de las 50 nuevas familias de ransomware descubiertas durante el año son variaciones de las identificadas anteriormente. Esta tendencia sugiere una creciente prevalencia del reciclaje de códigos, superposiciones de actores y estrategias de cambio de marca.
Estos ataques se destacan por el uso de herramientas de escritorio remoto legítimas y disponibles comercialmente en lugar de depender de Cobalt Strike . La creciente dependencia de estas herramientas legítimas probablemente indica los esfuerzos de los atacantes por evadir los mecanismos de detección y optimizar sus operaciones, reduciendo la necesidad de desarrollar y mantener herramientas personalizadas.
La nota de rescate que recibirán las víctimas de RansomHub Ransomware dice:
'Hello!
Visit our Blog:
Tor Browser Links:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion/Links for normal browser:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion.ly/>>> Your data is stolen and encrypted.
- If you don't pay the ransom, the data will be published on our TOR darknet sites. Keep in mind that once your data appears on our leak site, it could be bought by your competitors at any second, so don't hesitate for a long time. The sooner you pay the ransom, the sooner your company will be safe.
>>> If you have an external or cloud backup; what happens if you don’t agree with us?- All countries have their own PDPL (Personal Data Protection Law) regulations. In the event that you do not agree with us, information pertaining to your companies and the data of your company’s customers will be published on the internet, and the respective country’s personal data usage authority will be informed. Moreover, confidential data related to your company will be shared with potential competitors through email and social media. You can be sure that you will incur damages far exceeding the amount we are requesting from you should you decide not to agree with us.
>>> Don't go to the police or the FBI for help and don't tell anyone that we attacked you.- Seeking their help will only make the situation worse,They will try to prevent you from negotiating with us, because the negotiations will make them look incompetent,After the incident report is handed over to the government department, you will be fined ,The government uses your fine to reward them.And you will not get anything, and except you and your company, the rest of the people will forget what happened!!!!!
>>> How to contact with us?- Install and run 'Tor Browser' from hxxps://www.torproject.org/download/
- Go to hxxp://h6tejafqdkdltp****************seslv6djgiukiii573xtid.onion/
- Log in using the Client ID: -
>>> WARNINGDO NOT MODIFY ENCRYPTED FILES YOURSELF.
DO NOT USE THIRD PARTY SOFTWARE TO RESTORE YOUR DATA.
YOU MAY DAMAGE YOUR FILES, IT WILL RESULT IN PERMANENT DATA LOSS.'
