EncryptRAT
Ο παράγοντας απειλών με οικονομικά κίνητρα, γνωστός ως EncryptHub, ενορχηστρώνει ενεργά προηγμένες εκστρατείες ηλεκτρονικού "ψαρέματος" για την ανάπτυξη κλοπών πληροφοριών και ransomware. Επιπλέον, η ομάδα εργάζεται σε ένα νέο απειλητικό εργαλείο που ονομάζεται EncryptRAT, σηματοδοτώντας τη συνεχή εξέλιξή του στο τοπίο του εγκλήματος στον κυβερνοχώρο.
Πίνακας περιεχομένων
Στόχευση δημοφιλών εφαρμογών και χρήση υπηρεσιών PPI
Το EncryptHub έχει παρατηρηθεί να διανέμει trojanized εκδόσεις ευρέως χρησιμοποιούμενων εφαρμογών για να διεισδύσει στα συστήματα των θυμάτων. Η ομάδα αξιοποιεί επίσης υπηρεσίες Pay-Per-Install (PPI) τρίτων, όπως το LabInstalls, για να διευρύνει την εμβέλεια των καμπανιών κακόβουλου λογισμικού.
Λάθη λειτουργικής ασφάλειας και αξιοποίηση εκμετάλλευσης
Οι ερευνητές στον τομέα της κυβερνοασφάλειας έχουν αναγνωρίσει το EncryptHub ως ομάδα hacking που κάνει συχνά λάθη επιχειρησιακής ασφάλειας. Παρά αυτά τα λάθη, η ομάδα ενσωματώνει με επιτυχία τις εκμεταλλεύσεις για ευρέως γνωστές ευπάθειες ασφαλείας στις επιθέσεις της, καθιστώντας τις μια επίμονη απειλή.
Αναδυόμενη απειλή: LARVA-208 και πολυκαναλικές επιθέσεις
Επίσης, παρακολουθείται από μια ελβετική εταιρεία κυβερνοασφάλειας ως LARVA-208, το EncryptHub πιστεύεται ότι άρχισε να λειτουργεί τον Ιούνιο του 2024. Η ομάδα χρησιμοποιεί διάφορους φορείς επίθεσης, συμπεριλαμβανομένου του SMS phishing (smishing) και του voice phishing (vishing), για να εξαπατήσει τα θύματα να εγκαταστήσουν λογισμικό Remote Monitoring and Management (RMM).
Συνεργασίες με μεγάλες ομάδες Ransomware
Το EncryptHub έχει ισχυρούς δεσμούς με τις ομάδες RansomHub και Blacksuit Ransomware . Τους τελευταίους εννέα μήνες, έχει θέσει σε κίνδυνο περισσότερους από 618 στόχους υψηλής αξίας σε πολλούς κλάδους χρησιμοποιώντας προηγμένες τεχνικές κοινωνικής μηχανικής. Μια κοινή τακτική περιλαμβάνει το ηλεκτρονικό ψάρεμα ιστοτόπων που έχουν σχεδιαστεί για να κλέβουν διαπιστευτήρια VPN, ακολουθούμενη από μια κλήση που υποδύεται την υποστήριξη IT για να πείσει τα θύματα να εισαγάγουν τα στοιχεία τους. Σε περιπτώσεις που δεν χρησιμοποιούνται κλήσεις, οι ψεύτικοι σύνδεσμοι του Microsoft Teams χρησιμεύουν ως δόλωμα.
Αλεξίσφαιρη φιλοξενία και ανάπτυξη κακόβουλου λογισμικού
Για να αποφύγει τον εντοπισμό, το EncryptHub φιλοξενεί ιστότοπους phishing σε αλεξίσφαιρους παρόχους φιλοξενίας όπως το Yalishand. Μόλις αποκτηθεί πρόσβαση, ο εισβολέας εκτελεί σενάρια PowerShell για να εγκαταστήσει κακόβουλο λογισμικό κλοπής όπως Fickle , StealC και Rhadamanthys . Στις περισσότερες περιπτώσεις, ο απώτερος στόχος είναι η ανάπτυξη ransomware και η εκβίαση πληρωμής λύτρων.
Τρωανοποιημένες εφαρμογές ως βασικό σημείο εισόδου
Μια άλλη ευρέως χρησιμοποιούμενη μέθοδος περιλαμβάνει την απόκρυψη κακόβουλου λογισμικού ως νόμιμου λογισμικού. Το EncryptHub διανέμει ψεύτικες εκδόσεις εφαρμογών όπως το QQ Talk, το QQ Installer, το WeChat, το DingTalk, το VooV Meeting, το Google Meet, το Microsoft Visual Studio 2022 και το Palo Alto Global Protect. Μόλις εγκατασταθούν, αυτές οι πλαστές εφαρμογές ξεκινούν μια διαδικασία πολλαπλών σταδίων, παρέχοντας τελικά μη ασφαλή ωφέλιμα φορτία όπως το Kematian Stealer για τη συλλογή cookies του προγράμματος περιήγησης και άλλων ευαίσθητων δεδομένων.
LabInstalls: Ένα κρίσιμο στοιχείο στη διανομή κακόβουλου λογισμικού
Τουλάχιστον από τις 2 Ιανουαρίου 2025, το EncryptHub βασίζεται στο LabInstalls, μια υπηρεσία PPI που προσφέρει μαζική εγκατάσταση κακόβουλου λογισμικού έναντι χρέωσης. Οι τιμές κυμαίνονται από 10 $ για 100 φορτία έως 450 $ για 10.000 φορτία. Το EncryptHub επιβεβαίωσε τη χρήση της υπηρεσίας αφήνοντας θετικά σχόλια σε ένα ρωσόφωνο υπόγειο φόρουμ, μοιράζοντας ακόμη και ένα στιγμιότυπο οθόνης ως απόδειξη. Αυτό υποδηλώνει ότι ο ηθοποιός αναθέτει σε εξωτερικούς συνεργάτες τη διανομή για να κλιμακώσει τις δραστηριότητές του πιο αποτελεσματικά.
EncryptRAT: Η επόμενη εξέλιξη στο έγκλημα στον κυβερνοχώρο
Το EncryptHub αναπτύσσει ενεργά το EncryptRAT, έναν πίνακα Command-and-Control (C2) που έχει σχεδιαστεί για τη διαχείριση μολυσμένων συστημάτων, την εκτέλεση απομακρυσμένων εντολών και την πρόσβαση σε κλεμμένα δεδομένα. Ορισμένα στοιχεία υποδηλώνουν ότι ο όμιλος μπορεί να σχεδιάζει να εμπορευματοποιήσει αυτό το εργαλείο, αυξάνοντας ενδεχομένως την απειλή του για επιχειρήσεις και ιδιώτες.
Η ανάγκη για επαγρύπνηση και προληπτική άμυνα
Η συνεχής προσαρμογή και εξέλιξη του EncryptHub υπογραμμίζει την επείγουσα ανάγκη των οργανισμών να υιοθετήσουν στρατηγικές ασφαλείας πολλαπλών επιπέδων. Η συνεχής παρακολούθηση, τα προληπτικά αμυντικά μέτρα και η εκπαίδευση ευαισθητοποίησης των χρηστών είναι απαραίτητα για τον μετριασμό των κινδύνων που ενέχει αυτή η αυξανόμενη απειλή στον κυβερνοχώρο.
