Ransomware-as-a-Service (RaaS) značajno smanjuje tehničke barijere za hakere da pokrenu ransomware napade, čak i omogućava hakerima s minimalnim vještinama da izvrše sofisticirane sajber napade.
Na bazi pretplate, ovaj model radi, a kroz ovaj model, programeri takvih usluga nude drugim hakerima gotove alate za ransomware.
Istraživači kibernetičke sigurnosti u Group-IB nedavno su otkrili da RansomHub iskorištava RDP usluge kako bi eksfiltrirao velike količine podataka.
RansomHub iskorišćava RDP usluge
RansomHub je kompleksna Ransomware-as-a-Service (RaaS) grupa koja djeluje na uobičajeni način dvostruke iznude šifrirujući datoteke i krađu datoteke iz sistema svojih žrtava.
Ova grupa prvenstveno cilja na organizacije u Sjedinjenim Državama, Ujedinjenom Kraljevstvu, Španiji, Francuskoj i Italiji sa specijalizacijama uglavnom u zdravstvu, finansijama i vladi.
Njihove operacije možda nisu napredne, ali koriste alate dvostruke namjene za širenje mreže i kontrolu C2 putem daljinskog nadzora i upravljanja.
.webp)
Količina zahtjeva za otkupninom je navodno velika; za napade na sjevernu Afriku traženo je oko 50 miliona dolara otkupnine.
Finansijska procjena žrtava RansomHub-a ističe da je manipulacija sredstvima putem otkupa bila vrlo efikasna zbog prijavljenih transakcija cilja kojima se pristupalo na internetu.
Napadi kroz globalne mreže se nastavljaju iako bi mete mogle biti povučene jer su različite istrage Grupe-IB-ove Digitalne forenzike i odgovora na incidente pokazale da većini žrtava nedostaju odgovarajuće sigurnosne mjere u pogledu ljudi, procesa i tehnologije.
RansomHub, koji djeluje kao Ransomware-as-a-Service (RaaS) operacija, započeo je 2. februara 2024. na ‘RAMP’ dark web forumu, pišući pod pseudonimom “Koley”.
Obećavaju svojim filijalama udio u dobiti od 90-10%, a zatim pokreću DLS zasnovan na Tor-u na hxxp://ransomxifxwc5eteopdobynonjctkxxvap77yqifu2emfbecgbqdw6qd[.]onion/.
Njihov ransomware, koji je baziran na Golangu , može raditi na Windows, Linux i ESXi IDE. Osim toga, ima karakteristike širenja mreže, Safe Mode i hardverski ubrzanu enkripciju (AES-256, Cha-Cha20, Xcha-Cha20).
Lanac napada obično uključuje korištenje domenskih administratorskih naloga koji su narušeni, u većini slučajeva namamljeni putem LummaC2 kradljivaca, a zatim se daljinski prijavljuju na eksterne usluge kao što je RDP.
Za otkrivanje mreže i bočno kretanje, napadači koriste alate uključujući Netscan, smbexec i PsExec . Prije enkripcije moguće je koristiti rclone za eksfiltraciju podataka u Mega.
Nakon šifrovanja datoteka, ransomware prilaže proizvoljnu ekstenziju od 6 znakova i kreira datoteke pod nazivom README_[random 6 char].txt koje sadrže poruke otkupa.
.webp)
RansomHub ograničava napade na zemlje ZND, Sjevernu Koreju, Kinu, Rumuniju i Kubu. Dok RansomHub dobija pristup putem hakovanih naloga i javnih VPN-ova, on krade i šifruje podatke.
Njihova nova strategija uključuje implementaciju RaaS-a i izvlačenje visokih zahtjeva za otkupninom, što pokazuje njihovu agresivnu taktiku.
Istraživači su pozvali organizacije da poboljšaju kontrolu pristupa, poboljšaju nadzor i efikasnije reaguju na bezbednosne incidente kako bi izbegle takve pretnje.
Preporuke
U nastavku smo naveli sve preporuke:-
- Koristite alate za pronalaženje izloženosti cyber prijetnjama.
- Primjena MFA zasnovanog na OTP-u za daljinski pristup.
- Redovno procjenjivajte spremnost ransomware-a.
- Održavajte jake politike sigurnosnog kopiranja podataka.
- Postavite brzo vrijeme odgovora za sigurnosna upozorenja.
- Izbjegavajte i nadgledajte alate dvostruke namjene.
- Pazite na velike skokove mreže.
- Sprovesti godišnje revizije bezbednosti.
- Koristite naprednu analitiku za otkrivanje upada.
- Pregledajte smjernice o spremnosti za Ransomware.
Izvor: CyberSecurityNews