Unosni poslovni model i jednostavnost pokretanja Ransomware-as-a-Service (RaaS) pokreću brzu evoluciju i usvajanje.
Hakeri idu za RaaS jer eliminiše tehničke prepreke za ulazak, umjesto toga služeći gotovim alatima i infrastrukturi za ransomware.
To je donijelo manje tehnički kvalifikovane hakere, tako da čak i oni mogu pokrenuti sofisticirane napade, povećavajući prevalenciju i profitabilnost kampanja ransomware.
Analitičari Cybersecurity na Symantecu nedavno su utvrdili da se RansomHub Raas pojavljuje kao najveća operaciona grupa.
RansomHub Raas
Ažurirana i rebrendirana verzija stare Knight ransomware operacije, RansomHub je jedna od najvećih aktivnih grupa Ransomware-as-a-Service (RaaS).
Simantecova analiza otkriva značajne sličnosti koda između korisnog opterećenja za RansomHub i Knight, što sugeriše da je Knight bio neka vrsta osnove za novu grupu.
Međutim, čini se malo verovatnim da oni koji su u početku kreirali Knight takođe stoje iza RansomHub-a pošto su njegov izvorni kod učinili dostupnim javnosti u februaru 2024. pre nego što su zatvorili prodavnicu.
Novi hakeri su najverovatnije osnovali RansomHub nakon što su kupili i modifikovali ovu procurjelu kodnu bazu kako bi pokrenuli svoju RaaS kampanju sa drugim imenom brenda.
Porodice zlonamjernog softvera Knight i RansomHub imaju slične tipove izvornog koda napisanog u Go-u, a aplikacija ima samo početne forme Knighta.
Izuzetno je teško napraviti razliku između dve porodice zbog značajnog udjela kodova koji se preklapaju; ponekad je potrebno da posjetite link sajta za curenje podataka koji je ugrađen u uzorak radi potvrde.
Opcije komandne linije i RansomHub i EDA2 pružaju interfejs opcije pomoći koji je skoro identičan.
Jedina razlika je komanda za „sleep“ menija pomoći RansomHub-a.
.webp)
Ovo potvrđuje da postoji velika količina ponovne upotrebe koda, koja snažno ukazuje na zaključak da je RansomHub možda razvijen na osnovu Knight ransomware-a, s nekim promjenama u kodu.
RansomHub i Knight koriste različite tehnike za prikrivanje stringova, ali sličnosti u bilješkama o otkupnini sugerišu da je RansomHub ažurirao Knightov originalni tekst.
.webp)
Nalog za izvršenje njihovih dva seta naredbi cmd.exe je sličan.
U stvari, žrtve se ponovo pokreću u bezbjednom režimu prije šifrovanja, što je funkcija koju je ranije koristio Snatch ransomvare, koji dijeli Go jezik i mogućnosti svoje baze kodova.
Ovo bi moglo da implicira zajednički konvencionalni izvor. Takođe, RansomHub-ov pristup skladištenju konfiguracija podsjeća na Noberusovu metodu zasnovanu na JSON-u, koja pripada različitim porodicama.
Dakle, ova značajna preklapanja kodova, tehnike i sličnosti u bilješkama dokazuju da je RansomHub proizašao iz ponovnog korišćenja Knightove kodne baze kao osnove.
Do februara 2024. RansomHub je postao broj četiri među operaterima ransomvare-a, koji je postao poznat u roku od tri meseca.
.webp)
Njegov rast izveden je iz vedrih bivših Noberus suradnika poput Notchyja i upotrebe alata u vlasništvu Scattered Spidera.
Brzo stvaranje tima podrazumijeva iskusne operatore u kontaktu sa podzemnim svijetom.
Izvor: CyberSecurityNews
