EncryptRAT
Taloudellisesti motivoitunut uhkatoimija, joka tunnetaan nimellä EncryptHub, on aktiivisesti organisoinut edistyneitä tietojenkalastelukampanjoita tietojen varastajien ja kiristysohjelmien käyttöönottamiseksi. Lisäksi ryhmä työstää uutta uhkaavaa työkalua nimeltä EncryptRAT, joka ilmaisee sen jatkuvasta kehityksestä kyberrikollisuudessa.
Sisällysluettelo
Suosittuihin sovelluksiin kohdistaminen ja PPI-palvelujen käyttö
EncryptHubin on havaittu levittävän troijalaisia versioita laajalti käytetyistä sovelluksista soluttautuakseen uhrien järjestelmiin. Ryhmä hyödyntää myös kolmannen osapuolen Pay-Per-Install (PPI) -palveluita, kuten LabInstallsia, laajentaakseen haittaohjelmakampanjoidensa kattavuutta.
Käyttöturvallisuusvirheet ja hyväksikäyttö
Kyberturvallisuustutkijat ovat tunnistaneet EncryptHubin hakkerointiryhmäksi, joka tekee usein toiminnallisia tietoturvavirheitä. Näistä virheistä huolimatta ryhmä integroi hyökkäyksiinsä onnistuneesti laajalti tunnettujen tietoturva-aukkojen hyväksikäyttöjä, mikä tekee niistä jatkuvan uhan.
Uusi uhka: LARVA-208 ja monikanavaiset hyökkäykset
Sveitsiläisen kyberturvallisuusyrityksen LARVA-208 jäljittämän EncryptHubin uskotaan aktivoituneen kesäkuussa 2024. Ryhmä käyttää erilaisia hyökkäysvektoreita, mukaan lukien SMS-phishing (smishing) ja voice phishing (vishing), huijatakseen uhreja asentamaan Remote Monitoring and Management (RMM) -ohjelmiston.
Yhteydet suuriin Ransomware-ryhmiin
EncryptHubilla on vahvat siteet RansomHub- ja Blacksuit Ransomware -ryhmiin. Viimeisten yhdeksän kuukauden aikana se on vaarantanut yli 618 arvokasta kohdetta useilla toimialoilla käyttämällä kehittyneitä sosiaalisen suunnittelun tekniikoita. Yleinen taktiikka on tietojenkalastelusivustot, jotka on suunniteltu varastamaan VPN-tunnistetiedot, ja sitä seuraa puhelu, joka esiintyy IT-tuella, jotta uhrit suostuttelemaan antamaan tietonsa. Tapauksissa, joissa kutsuja ei käytetä, väärennetyt Microsoft Teams -linkit toimivat syöttinä.
Luodinkestävä isännöinti ja haittaohjelmien käyttöönotto
Välttääkseen havaitsemisen EncryptHub isännöi tietojenkalastelusivustoja luodinkestävissä isännöintipalveluntarjoajissa, kuten Yalishandissa. Kun käyttöoikeus on saatu, hyökkääjä suorittaa PowerShell-komentosarjat varastaakseen haittaohjelmia, kuten Fickle , StealC ja Rhadamanthys . Useimmissa tapauksissa perimmäisenä tavoitteena on ottaa käyttöön lunnasohjelma ja kiristää lunnaita.
Troijalaiset sovellukset avaimena
Toinen yleisesti käytetty menetelmä sisältää haittaohjelmien naamioinnin laillisiksi ohjelmistoiksi. EncryptHub on jakanut väärennettyjä versioita sovelluksista, kuten QQ Talk, QQ Installer, WeChat, DingTalk, VooV Meeting, Google Meet, Microsoft Visual Studio 2022 ja Palo Alto Global Protect. Asennuksen jälkeen nämä väärennetyt sovellukset käynnistävät monivaiheisen prosessin, joka lopulta toimittaa vaarallisia hyötykuormia, kuten Kematian Stealer kerää selaimen evästeitä ja muita arkaluonteisia tietoja.
LabInstalls: tärkeä osa haittaohjelmien jakelua
Ainakin 2. tammikuuta 2025 lähtien EncryptHub on luottanut LabInstallsiin, PPI-palveluun, joka tarjoaa haittaohjelmien joukkoasennuksen maksua vastaan. Hinnat vaihtelevat 10 dollarista 100 kuormaa kohti 450 dollaria 10 000 kuormaa kohti. EncryptHub vahvisti palvelun käytön jättämällä positiivista palautetta venäjänkieliselle maanalaiselle foorumille ja jakamalla jopa kuvakaappauksen todisteeksi. Tämä viittaa siihen, että toimija ulkoistaa jakelun skaalatakseen toimintaansa tehokkaammin.
EncryptRAT: Kyberrikollisuuden seuraava kehitys
EncryptHub kehittää aktiivisesti EncryptRATia, Command-and-Control (C2) -paneelia, joka on suunniteltu hallitsemaan tartunnan saaneita järjestelmiä, suorittamaan etäkäskyjä ja käyttämään varastettuja tietoja. Jotkut todisteet viittaavat siihen, että ryhmä saattaa suunnitella tämän työkalun kaupallistamista, mikä saattaa lisätä sen uhkaa yrityksille ja yksityishenkilöille.
Valppauden ja ennakoivan puolustuksen tarve
EncryptHubin jatkuva mukautuminen ja kehitys korostavat organisaatioiden kiireellistä tarvetta ottaa käyttöön monitasoisia suojastrategioita. Jatkuva seuranta, ennakoivat puolustustoimenpiteet ja käyttäjien tietoisuuden lisääminen ovat välttämättömiä tämän kasvavan kyberuhan aiheuttamien riskien vähentämiseksi.
