Site icon Kiber.ba

RansomHub Raas se pojavljuje kao najveća grupa za ransomware

RansomHub Raas se pojavljuje kao najveća grupa za ransomware-Kiber.ba

RansomHub Raas se pojavljuje kao najveća grupa za ransomware-Kiber.ba

Unosni poslovni model i jednostavnost pokretanja Ransomware-as-a-Service (RaaS) pokreću brzu evoluciju i usvajanje.

Hakeri idu za RaaS jer eliminiše tehničke prepreke za ulazak, umjesto toga služeći gotovim alatima i infrastrukturi za ransomware.

To je donijelo manje tehnički kvalifikovane hakere, tako da čak i oni mogu pokrenuti sofisticirane napade, povećavajući prevalenciju i profitabilnost kampanja ransomware.

Analitičari Cybersecurity na Symantecu nedavno su utvrdili da se RansomHub Raas pojavljuje kao najveća operaciona grupa.

RansomHub Raas

Ažurirana i rebrendirana verzija stare Knight ransomware operacije, RansomHub je jedna od najvećih aktivnih grupa Ransomware-as-a-Service (RaaS).

Simantecova analiza otkriva značajne sličnosti koda između korisnog opterećenja za RansomHub i Knight, što sugeriše da je Knight bio neka vrsta osnove za novu grupu.

Međutim, čini se malo verovatnim da oni koji su u početku kreirali Knight takođe stoje iza RansomHub-a pošto su njegov izvorni kod učinili dostupnim javnosti u februaru 2024. pre nego što su zatvorili prodavnicu.


Novi hakeri su najverovatnije osnovali RansomHub nakon što su kupili i modifikovali ovu procurjelu kodnu bazu kako bi pokrenuli svoju RaaS kampanju sa drugim imenom brenda.

Porodice zlonamjernog softvera Knight i RansomHub imaju slične tipove izvornog koda napisanog u Go-u, a aplikacija ima samo početne forme Knighta.

Izuzetno je teško napraviti razliku između dve porodice zbog značajnog udjela kodova koji se preklapaju; ponekad je potrebno da posjetite link sajta za curenje podataka koji je ugrađen u uzorak radi potvrde.

Opcije komandne linije i RansomHub i EDA2 pružaju interfejs opcije pomoći koji je skoro identičan.

Jedina razlika je komanda za „sleep“ menija pomoći RansomHub-a.

Ovo potvrđuje da postoji velika količina ponovne upotrebe koda, koja snažno ukazuje na zaključak da je RansomHub možda razvijen na osnovu Knight ransomware-a, s nekim promjenama u kodu.

RansomHub i Knight koriste različite tehnike za prikrivanje stringova, ali sličnosti u bilješkama o otkupnini sugerišu da je RansomHub ažurirao Knightov originalni tekst.

Nalog za izvršenje njihovih dva seta naredbi cmd.exe je sličan.

U stvari, žrtve se ponovo pokreću u bezbjednom režimu prije šifrovanja, što je funkcija koju je ranije koristio Snatch ransomvare, koji dijeli Go jezik i mogućnosti svoje baze kodova.

Ovo bi moglo da implicira zajednički konvencionalni izvor. Takođe, RansomHub-ov pristup skladištenju konfiguracija podsjeća na Noberusovu metodu zasnovanu na JSON-u, koja pripada različitim porodicama.

Dakle, ova značajna preklapanja kodova, tehnike i sličnosti u bilješkama dokazuju da je RansomHub proizašao iz ponovnog korišćenja Knightove kodne baze kao osnove.

Do februara 2024. RansomHub je postao broj četiri među operaterima ransomvare-a, koji je postao poznat u roku od tri meseca.

Najplodnije operacije ransomwarea tvrđenim napadima (Izvor – Symantec)

Njegov rast izveden je iz vedrih bivših Noberus suradnika poput Notchyja i upotrebe alata u vlasništvu Scattered Spidera.

Brzo stvaranje tima podrazumijeva iskusne operatore u kontaktu sa podzemnim svijetom.

Izvor: CyberSecurityNews

Exit mobile version