- 13,854
- 20
- 8 Ноя 2022
Группа с большими связями в киберпространстве захватывает крупную долю в хакерском мире.
Symantec Для просмотра ссылки Войдиили Зарегистрируйся недавно выявленной программы-вымогателя RansomHub и выяснила, что программа оказалась обновлённой и переименованной версией программы Knight, которая, в свою очередь, является эволюцией другого вымогателя — Cyclops.
Knight (также известный как Cyclops 2.0) впервые появился в мае 2023 года и использовал тактику двойного вымогательства, похищая и шифруя данные жертв для получения финансовой выгоды. вирус действует на множестве платформ, включая Windows, Linux, macOS, ESXi и Android.
Knight активно рекламировался и продавался на форуме RAMP. Атаки с его участием часто использовали фишинг для распространения вредоносных вложений. Деятельность Knight в качестве RaaS-модели была прекращена в конце февраля 2024 года, когда Для просмотра ссылки Войдиили Зарегистрируйся Это дало основание полагать, что вирус мог перейти в руки нового владельца, который решил обновить и перезапустить его под брендом RansomHub.
Вирус RansomHub, первая жертва которого была зафиксирована в том же месяце, уже связан с серией недавних атак, среди которых Для просмотра ссылки Войдиили Зарегистрируйся Christie's и Для просмотра ссылки Войди или Зарегистрируйся Примечательно, что новая версия вируса не атакует объекты в странах СНГ, на Кубе, в Северной Корее и Китае.
Компания Symantec отметила, что обе версии вируса написаны на языке Go, а большинство их вариантов скрыты с помощью Gobfuscate. Соответствие в коде между двумя семействами значительно, что затрудняет их различие. Оба вируса имеют идентичные справочные меню, но RansomHub добавил новую опцию sleep, которая позволяет оставаться в режиме ожидания перед выполнением команд. Подобные команды наблюдались и в других вирусах – Chaos/Yashma и Trigona.
Сходства между Knight и RansomHub также включают технику скрытия строк, записки с требованиями выкупа и способность перезагружать систему в безопасном режиме перед началом шифрования. Основное различие состоит в наборе команд, выполняемых через cmd.exe, хотя последовательность их вызова остаётся неизменной.
Записка с требованием выкупа RansomHub
Атаки RansomHub используют уязвимости ZeroLogon для получения первоначального доступа и установки инструментов удалённого управления (Atera и Splashtop) до развертывания вымогателя. По Для просмотра ссылки Войдиили Зарегистрируйся Malwarebytes, в апреле 2024 года это RansomHub был связан с 26 атаками.
Более того, RansomHub Для просмотра ссылки Войдиили Зарегистрируйся участников других группировок, включая LockBit и BlackCat. Сообщается, что один из бывших партнёров Noberus, известный как Notchy, Для просмотра ссылки Войди или Зарегистрируйся с RansomHub. Кроме того, инструменты, ранее связанные с другим партнёром Noberus, Scattered Spider, были использованы в недавней атаке RansomHub.
Быстрое развитие RansomHub указывает на то, что группа, возможно, состоит из опытных хакеров с большими связями в киберпространстве. Развитие группы происходит Для просмотра ссылки Войдиили Зарегистрируйся программ-вымогателей. Согласно отчету Mandiant, количество публикаций на сайтах утечек данных увеличилось на 75% по сравнению с предыдущим годом.
Symantec Для просмотра ссылки Войди
Knight (также известный как Cyclops 2.0) впервые появился в мае 2023 года и использовал тактику двойного вымогательства, похищая и шифруя данные жертв для получения финансовой выгоды. вирус действует на множестве платформ, включая Windows, Linux, macOS, ESXi и Android.
Knight активно рекламировался и продавался на форуме RAMP. Атаки с его участием часто использовали фишинг для распространения вредоносных вложений. Деятельность Knight в качестве RaaS-модели была прекращена в конце февраля 2024 года, когда Для просмотра ссылки Войди
Вирус RansomHub, первая жертва которого была зафиксирована в том же месяце, уже связан с серией недавних атак, среди которых Для просмотра ссылки Войди
Компания Symantec отметила, что обе версии вируса написаны на языке Go, а большинство их вариантов скрыты с помощью Gobfuscate. Соответствие в коде между двумя семействами значительно, что затрудняет их различие. Оба вируса имеют идентичные справочные меню, но RansomHub добавил новую опцию sleep, которая позволяет оставаться в режиме ожидания перед выполнением команд. Подобные команды наблюдались и в других вирусах – Chaos/Yashma и Trigona.
Сходства между Knight и RansomHub также включают технику скрытия строк, записки с требованиями выкупа и способность перезагружать систему в безопасном режиме перед началом шифрования. Основное различие состоит в наборе команд, выполняемых через cmd.exe, хотя последовательность их вызова остаётся неизменной.
Записка с требованием выкупа RansomHub
Атаки RansomHub используют уязвимости ZeroLogon для получения первоначального доступа и установки инструментов удалённого управления (Atera и Splashtop) до развертывания вымогателя. По Для просмотра ссылки Войди
Более того, RansomHub Для просмотра ссылки Войди
Быстрое развитие RansomHub указывает на то, что группа, возможно, состоит из опытных хакеров с большими связями в киберпространстве. Развитие группы происходит Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
