2024-06-06 19:00:03
Бродкомовская
Symantec расчехлила банду вымогателей
RansomHub, связав ее с уже отошедшей от дел
Knight ransomware.
Работающая в традиционном RaaS-формате
RansomHub пока не может похвастаться историей своего бренда и образовалась в сообществе вымогателей сравнительно недавно.
Банда специализируется краже и вымогательстве данных, реализуя украденные файлы на аукционах по наивысшему предложенному покупателями прайсу.
RansomHub привлекла внимание в апреля, опубликовав тогда украденные из дочерней компании
United Health Change Healthcare данные после атаки
BlackCat/ALPHV, что многих наводило на мысль о сотрудничестве между ними.
А совсем недавно, в день пограничника, вымогатели навестили международный аукционный дом
Christie’s, который признал инцидент после того, как хакеры пригрозили раскрыть украденные данные.
В свою очередь,
Knight была запущена в конце июля 2023 года как некий ребрендинг
Cyclops и применялась для атак на
Windows, macOS, Linux/ESXi, в ходе которых производилась кража данные и обозначался выкуп.
Одной из особенностей
Knight стал компонент для кражи информации, который владельцы ransomware предлагали своим операторам, делая их атаки более эффективными.
В феврале 2024 года в киберподполье исходники шифровальщика
Knight с версией 3.0 выставили на продажу, портал DLS отключили, а работа RaaS была приостановлена.
Но, как удалось выяснить
Symantec, ненадолго, ведь позже
Knight вернулся уже в образе
RansomHub.
Аналитики обнаружили много общего между двумя штаммами программ-вымогателей.
Оба семейства написаны на
Go и используют
Gobfuscate для обфускации. В двух полезных нагрузках вредоносного ПО имеется значительное дублирование кода.
В
RansomHub и Knight применена одна и та же уникальная техника обфускации, при которой важные строки кодируются уникальными ключами.
Записки о выкупе, используемые двумя семействами программ-вымогателей, аналогичны, с небольшими обновлениями, добавленными
RansomHub.
Оба штамма перед шифрованием перезапускают конечные точки в безопасном режиме. Меню справки командной строки в этих двух семействах идентичны, с той лишь разницей, что в
RansomHub есть команда «сна».
Последовательность и способ выполнения команд остались прежними, однако
RansomHub теперь выполняет их через cmd.exe.
В наконец, время появления
RansomHub четко совпадает с датой ухода
Knight.
Однако, как полагают в
Symantec, за
RansomHub стоят иные разрабы, которые по всей видимости закупившись
Knigh, начали применять в атаках его модифицированный вариант.
Тем не менее, к настоящему времени
RansomHub превратился в одну из самых эффективных RaaS, которую
Symantec связывает с бандой, привлекающей бывших операторов
ALPHV, таких как
Notchy и Scattered Spider.
5.5K views16:00