EncryptRAT

L'actor d'amenaces amb motivació financera conegut com EncryptHub ha estat orquestrant activament campanyes avançades de pesca per implementar robatoris d'informació i programari ransom. A més, el grup està treballant en una nova eina amenaçadora anomenada EncryptRAT, que assenyala la seva contínua evolució en el panorama de la ciberdelinqüència.

Orientació a aplicacions populars i ús dels serveis PPI

S'ha observat que EncryptHub distribueix versions troianitzades d'aplicacions àmpliament utilitzades per infiltrar-se en els sistemes de les víctimes. El grup també aprofita els serveis de pagament per instal·lació (PPI) de tercers, com ara LabInstalls, per ampliar l'abast de les seves campanyes de programari maliciós.

Errors de seguretat operacional i utilització d’explotacions

Els investigadors de ciberseguretat han identificat EncryptHub com un grup de pirateria que sovint comet errors de seguretat operacional. Malgrat aquests errors, el grup integra amb èxit exploits de vulnerabilitats de seguretat àmpliament conegudes als seus atacs, convertint-los en una amenaça persistent.

Amenaça emergent: LARVA-208 i atacs multicanal

També rastrejada per una empresa suïssa de ciberseguretat com LARVA-208, Es creu que EncryptHub es va activar el juny de 2024. El grup utilitza diversos vectors d'atac, com ara phishing d'SMS (smishing) i phishing de veu (vishing), per enganyar les víctimes perquè instal·lin programari de monitorització i gestió remota (RMM).

Afiliacions amb els principals grups de ransomware

EncryptHub té forts vincles amb els grups RansomHub i Blacksuit Ransomware . Durant els darrers nou mesos, ha compromès més de 618 objectius d'alt valor en múltiples indústries mitjançant tècniques avançades d'enginyeria social. Una tàctica habitual consisteix en llocs web de pesca dissenyats per robar credencials VPN, seguit d'una trucada que suplanta l'assistència informàtica per persuadir les víctimes perquè introdueixin les seves dades. En els casos en què no s'utilitzen trucades, els enllaços falsos de Microsoft Teams serveixen d'esquer.

Allotjament a prova de bales i desplegament de programari maliciós

Per evitar la detecció, EncryptHub allotja llocs de pesca a proveïdors d'allotjament a prova de bales com Yalishand. Un cop obtingut l'accés, l'atacant executa scripts de PowerShell per instal·lar programari maliciós robador com Fickle , StealC i Rhadamanthys . En la majoria dels casos, l'objectiu final és desplegar un ransomware i extorsionar un pagament de rescat.

Les aplicacions troianitzades com a punt d’entrada clau

Un altre mètode d'ús habitual consisteix a disfressar el programari maliciós com a programari legítim. EncryptHub ha estat distribuint versions falses d'aplicacions com QQ Talk, QQ Installer, WeChat, DingTalk, VooV Meeting, Google Meet, Microsoft Visual Studio 2022 i Palo Alto Global Protect. Un cop instal·lades, aquestes aplicacions falsificades inicien un procés en diverses etapes, que finalment ofereixen càrregues útils insegures com el Kematian Stealer per recollir galetes del navegador i altres dades sensibles.

LabInstalls: un element crucial en la distribució de programari maliciós

Des del 2 de gener de 2025, com a mínim, EncryptHub confia en LabInstalls, un servei PPI que ofereix instal·lació de programari maliciós a granel per una tarifa. Els preus oscil·len entre els 10 $ per 100 càrregues i els 450 $ per 10.000 càrregues. EncryptHub va confirmar el seu ús del servei deixant comentaris positius en un fòrum clandestí de parla russa, fins i tot compartint una captura de pantalla com a prova. Això suggereix que l'actor està externalitzant la distribució per escalar les seves operacions de manera més eficient.

EncryptRAT: la propera evolució en el cibercrim

EncryptHub està desenvolupant activament EncryptRAT, un panell d'ordres i control (C2) dissenyat per gestionar sistemes infectats, executar ordres remotes i accedir a dades robades. Algunes proves suggereixen que el grup pot estar planejant comercialitzar aquesta eina, augmentant potencialment la seva amenaça tant per a les empreses com per a les persones.

La necessitat de vigilància i defensa proactiva

La contínua adaptació i evolució d'EncryptHub posa de manifest la necessitat urgent de les organitzacions d'adoptar estratègies de seguretat multicapa. El seguiment constant, les mesures de defensa proactives i la formació de conscienciació dels usuaris són essencials per mitigar els riscos que suposa aquesta creixent amenaça cibernètica.