EncryptRAT
EncryptHubina tuntud rahaliselt motiveeritud ohutegija on aktiivselt korraldanud täpsemaid andmepüügikampaaniaid, et juurutada teabevaraste ja lunavara. Lisaks töötab rühm uue ähvardava tööriista EncryptRAT kallal, mis annab märku selle pidevast arengust küberkuritegevuse maastikul.
Sisukord
Populaarsete rakenduste sihtimine ja PPI-teenuste kasutamine
On täheldatud, et EncryptHub levitab ohvrite süsteemidesse imbumiseks laialdaselt kasutatavate rakenduste troojastatud versioone. Rühm kasutab oma pahavarakampaaniate ulatuse laiendamiseks ka kolmandate osapoolte Pay-Per-Install (PPI) teenuseid, nagu LabInstalls.
Operatsiooniturbe vead ja ärakasutamine
Küberturbeteadlased on tuvastanud EncryptHubi häkkimisrühmana, mis teeb sageli tööturbe vigu. Nendest vigadest hoolimata integreerib rühm edukalt oma rünnakutesse laialt tuntud turvaaukude ärakasutamise, muutes need püsivaks ohuks.
Tekkiv oht: LARVA-208 ja mitmekanalilised rünnakud
EncryptHub, mida jälgib ka Šveitsi küberjulgeolekufirma nimega LARVA-208, muutus arvatavasti aktiivseks 2024. aasta juunis. Rühm kasutab erinevaid rünnakute vektoreid, sealhulgas SMS-andmepüüki (smishing) ja häälandmepüüki (vishing), et petta ohvreid kaugseire ja -halduse (RMM) tarkvara installima.
Seosed suuremate lunavaragruppidega
EncryptHubil on tugevad sidemed RansomHubi ja Blacksuit Ransomware gruppidega. Viimase üheksa kuu jooksul on see seadnud ohtu enam kui 618 suure väärtusega sihtmärki mitmes tööstusharus, kasutades täiustatud sotsiaalse korralduse tehnikaid. Levinud taktika hõlmab andmepüügiveebisaite, mille eesmärk on varastada VPN-i mandaate, millele järgneb IT-tuge kehastav kõne, et veenda ohvreid oma andmeid sisestama. Juhtudel, kui kõnesid ei kasutata, on söödaks Microsoft Teamsi võltslingid.
Kuulikindel hostimine ja pahavara juurutamine
Tuvastamisest kõrvalehoidmiseks hostib EncryptHub kuulikindlate hostimise pakkujate, nagu Yalishand, andmepüügisaite. Kui juurdepääs on saavutatud, käivitab ründaja PowerShelli skripte, et installida varastatav pahavara, nagu Fickle , StealC ja Rhadamanthys . Enamikul juhtudel on lõppeesmärk lunavara juurutamine ja lunaraha väljapressimine.
Troojastatud rakendused kui peamine sisenemispunkt
Teine sageli kasutatav meetod hõlmab pahavara maskeerimist seaduslikuks tarkvaraks. EncryptHub on levitanud selliste rakenduste võltsversioone nagu QQ Talk, QQ Installer, WeChat, DingTalk, VooV Meeting, Google Meet, Microsoft Visual Studio 2022 ja Palo Alto Global Protect. Pärast installimist käivitavad need võltsrakendused mitmeetapilise protsessi, edastades lõpuks ohtlikke koormusi, nagu Kematian Stealer, et koguda brauseri küpsiseid ja muid tundlikke andmeid.
LabInstalls: pahavara levitamise oluline element
Alates 2. jaanuarist 2025 on EncryptHub tuginenud PPI-teenusele LabInstalls, mis pakub tasu eest pahavara hulgiinstallimist. Hinnad ulatuvad 10 dollarist 100 koorma eest 450 dollarini 10 000 koorma eest. EncryptHub kinnitas oma teenuse kasutamist, jättes venekeelsele põrandaalusele foorumile positiivse tagasiside, jagades tõendina isegi ekraanipilti. See viitab sellele, et tegutseja kasutab levitamise allhanget, et oma tegevust tõhusamalt skaleerida.
EncryptRAT: küberkuritegevuse järgmine areng
EncryptHub arendab aktiivselt EncryptRAT-i, Command-and-Control (C2) paneeli, mis on loodud nakatunud süsteemide haldamiseks, kaugkäskude täitmiseks ja varastatud andmetele juurdepääsuks. Mõned tõendid viitavad sellele, et rühm kavatseb selle tööriista turustada, suurendades potentsiaalselt selle ohtu nii ettevõtetele kui ka üksikisikutele.
Vajadus valvsuse ja ennetava kaitse järele
EncryptHubi pidev kohandamine ja areng tõstavad esile tungiva vajaduse, et organisatsioonid võtaksid kasutusele mitmekihilised turbestrateegiad. Pidev jälgimine, ennetavad kaitsemeetmed ja kasutajate teadlikkuse tõstmise koolitus on olulised selle kasvava küberohu riskide maandamiseks.
