EncryptRAT
Den økonomisk motiverede trusselsaktør kendt som EncryptHub har aktivt orkestreret avancerede phishing-kampagner for at implementere informationstyve og ransomware. Derudover arbejder gruppen på et nyt truende værktøj kaldet EncryptRAT, der signalerer dens kontinuerlige udvikling i cyberkriminalitetslandskabet.
Indholdsfortegnelse
Målretning efter populære applikationer og brug af PPI-tjenester
EncryptHub er blevet observeret distribuere trojanske versioner af udbredte applikationer til at infiltrere ofres systemer. Gruppen udnytter også tredjeparts Pay-Per-Install (PPI)-tjenester, såsom LabInstalls, for at udvide rækkevidden af deres malware-kampagner.
Operationelle sikkerhedsfejl og udnyttelse af udnyttelse
Cybersikkerhedsforskere har identificeret EncryptHub som en hackergruppe, der ofte laver driftssikkerhedsfejl. På trods af disse fejltagelser har gruppen med succes integreret udnyttelser til almindeligt kendte sikkerhedssårbarheder i sine angreb, hvilket gør dem til en vedvarende trussel.
Ny trussel: LARVA-208 og multikanalangreb
Også sporet af et schweizisk cybersikkerhedsfirma som LARVA-208, menes EncryptHub at være blevet aktiv i juni 2024. Gruppen anvender forskellige angrebsvektorer, herunder SMS-phishing (smishing) og voice phishing (vishing), for at bedrage ofrene til at installere Remote Monitoring and Management (RMM) software.
Tilknytning til store Ransomware-grupper
EncryptHub har stærke bånd til RansomHub og Blacksuit Ransomware- grupperne. I løbet af de sidste ni måneder har den kompromitteret mere end 618 værdifulde mål på tværs af flere industrier ved hjælp af avancerede social engineering-teknikker. En almindelig taktik involverer phishing-websteder designet til at stjæle VPN-legitimationsoplysninger, efterfulgt af et opkald, der efterligner IT-support for at overtale ofrene til at indtaste deres detaljer. I tilfælde, hvor opkald ikke bruges, fungerer falske Microsoft Teams-links som lokkemad.
Bulletproof Hosting og Malware-implementering
For at undgå opdagelse hoster EncryptHub phishing-sites på skudsikre hostingudbydere som Yalishand. Når der er opnået adgang, udfører angriberen PowerShell-scripts for at installere tyveri-malware såsom Fickle , StealC og Rhadamanthys . I de fleste tilfælde er det ultimative mål at implementere ransomware og afpresse en løsesum.
Trojaniserede applikationer som et nøgleindgangspunkt
En anden almindeligt anvendt metode involverer at skjule malware som legitim software. EncryptHub har distribueret falske versioner af applikationer som QQ Talk, QQ Installer, WeChat, DingTalk, VooV Meeting, Google Meet, Microsoft Visual Studio 2022 og Palo Alto Global Protect. Når de er installeret, starter disse forfalskede applikationer en proces i flere trin og leverer til sidst usikre nyttelaster som Kematian Stealer til at indsamle browsercookies og andre følsomme data.
LabInstalls: Et afgørende element i Malware-distribution
Siden mindst den 2. januar 2025 har EncryptHub stolet på LabInstalls, en PPI-tjeneste, der tilbyder bulk-malwareinstallation mod et gebyr. Priserne varierer fra $10 for 100 læs til $450 for 10.000 læs. EncryptHub bekræftede sin brug af tjenesten ved at efterlade positiv feedback på et russisktalende undergrundsforum, og endda dele et skærmbillede som bevis. Dette tyder på, at aktøren outsourcer distribution for at skalere sine operationer mere effektivt.
EncryptRAT: The Next Evolution in Cybercrime
EncryptHub udvikler aktivt EncryptRAT, et Command-and-Control (C2) panel designet til at administrere inficerede systemer, udføre fjernkommandoer og få adgang til stjålne data. Nogle beviser tyder på, at gruppen måske planlægger at kommercialisere dette værktøj, hvilket potentielt øger dets trussel mod både virksomheder og enkeltpersoner.
Behovet for årvågenhed og proaktivt forsvar
EncryptHubs kontinuerlige tilpasning og udvikling fremhæver det presserende behov for organisationer for at vedtage flerlags sikkerhedsstrategier. Konstant overvågning, proaktive forsvarsforanstaltninger og træning i brugerbevidsthed er afgørende for at mindske de risici, som denne voksende cybertrussel udgør.
