EncryptRAT
Финансово мотивираната заплаха, известна като EncryptHub, активно организира усъвършенствани фишинг кампании за внедряване на крадци на информация и рансъмуер. Освен това групата работи върху нов заплашителен инструмент, наречен EncryptRAT, сигнализиращ за непрекъснатото му развитие в пейзажа на киберпрестъпността.
Съдържание
Насочване към популярни приложения и използване на PPI услуги
Забелязано е, че EncryptHub разпространява троянизирани версии на широко използвани приложения за проникване в системите на жертвите. Групата също така използва услуги на трети страни Pay-Per-Install (PPI), като LabInstalls, за да разшири обхвата на своите кампании за злонамерен софтуер.
Грешки при оперативната сигурност и използване на експлойт
Изследователите на киберсигурността идентифицираха EncryptHub като хакерска група, която често прави оперативни грешки в сигурността. Въпреки тези грешки, групата успешно интегрира експлойти за широко известни уязвимости в сигурността в своите атаки, което ги прави постоянна заплаха.
Възникваща заплаха: LARVA-208 и многоканални атаки
Проследен също от швейцарска фирма за киберсигурност като LARVA-208, се смята, че EncryptHub е станал активен през юни 2024 г. Групата използва различни вектори на атака, включително SMS фишинг (смишинг) и гласов фишинг (вишинг), за да подмами жертвите да инсталират софтуер за отдалечено наблюдение и управление (RMM).
Свързаности с големи групи за рансъмуер
EncryptHub има силни връзки с групите RansomHub и Blacksuit Ransomware . През последните девет месеца той е компрометирал повече от 618 цели с висока стойност в множество индустрии, използвайки усъвършенствани техники за социално инженерство. Често срещана тактика включва фишинг уебсайтове, предназначени да крадат VPN идентификационни данни, последвани от обаждане, представящо се за ИТ поддръжка, за да убедят жертвите да въведат своите данни. В случаите, когато обажданията не се използват, фалшивите връзки към Microsoft Teams служат като примамка.
Бронеустойчив хостинг и внедряване на зловреден софтуер
За да избегне откриването, EncryptHub хоства фишинг сайтове на бронирани хостинг доставчици като Yalishand. След като получи достъп, атакуващият изпълнява скриптове на PowerShell, за да инсталира злонамерен софтуер за крадец като Fickle , StealC и Rhadamanthys . В повечето случаи крайната цел е внедряване на рансъмуер и изнудване за плащане на откуп.
Троянизираните приложения като ключова входна точка
Друг често използван метод включва маскирането на зловреден софтуер като легитимен софтуер. EncryptHub разпространява фалшиви версии на приложения като QQ Talk, QQ Installer, WeChat, DingTalk, VooV Meeting, Google Meet, Microsoft Visual Studio 2022 и Palo Alto Global Protect. Веднъж инсталирани, тези фалшиви приложения започват многоетапен процес, като в крайна сметка доставят опасни полезни товари като Kematian Stealer за събиране на бисквитки на браузъра и други чувствителни данни.
LabInstalls: Решаващ елемент в разпространението на зловреден софтуер
Най-малко от 2 януари 2025 г. EncryptHub разчита на LabInstalls, PPI услуга, която предлага масово инсталиране на зловреден софтуер срещу заплащане. Цените варират от $10 за 100 зареждания до $450 за 10 000 зареждания. EncryptHub потвърди използването на услугата, като остави положителна обратна връзка в рускоезичен подземен форум, дори сподели екранна снимка като доказателство. Това предполага, че актьорът аутсорсва дистрибуцията, за да мащабира операциите си по-ефективно.
EncryptRAT: Следващата еволюция в киберпрестъпността
EncryptHub активно разработва EncryptRAT, командно-контролен (C2) панел, предназначен за управление на заразени системи, изпълнение на отдалечени команди и достъп до откраднати данни. Някои доказателства предполагат, че групата може да планира да комерсиализира този инструмент, потенциално увеличавайки заплахата му за бизнеса и физическите лица.
Необходимостта от бдителност и проактивна отбрана
Непрекъснатото адаптиране и развитие на EncryptHub подчертава спешната необходимост организациите да приемат многопластови стратегии за сигурност. Постоянното наблюдение, проактивните защитни мерки и обучението за информираност на потребителите са от съществено значение за смекчаване на рисковете, породени от тази нарастваща киберзаплаха.
