EncryptRAT
שחקן האיום בעל המוטיבציה הפיננסית הידוע בשם EncryptHub תזמר באופן פעיל קמפיינים דיוגים מתקדמים כדי לפרוס גנבי מידע ותוכנות כופר. בנוסף, הקבוצה עובדת על כלי מאיים חדש בשם EncryptRAT, המאותת על התפתחות מתמשכת שלו בנוף פשעי הסייבר.
תוכן העניינים
מיקוד ליישומים פופולריים ושימוש בשירותי PPI
EncryptHub נצפתה מפיצה גרסאות טרויאניות של יישומים בשימוש נרחב כדי לחדור למערכות של קורבנות. הקבוצה גם ממנפת שירותי תשלום לפי התקנה (PPI) של צד שלישי, כגון LabInstalls, כדי להרחיב את טווח ההגעה של מסעות הפרסום שלהם בתוכנה זדונית.
טעויות אבטחה תפעוליות וניצול ניצול
חוקרי אבטחת סייבר זיהו את EncryptHub כקבוצת פריצה שעושה לעתים קרובות שגיאות אבטחה תפעוליות. למרות הטעויות הללו, הקבוצה משלבת בהצלחה ניצול של פרצות אבטחה ידועות בהתקפות שלה, מה שהופך אותן לאיום מתמשך.
איום מתעורר: LARVA-208 והתקפות מרובות ערוצים
כמו כן, מעקב אחר חברת אבטחת סייבר שוויצרית בשם LARVA-208, מאמינים כי EncryptHub הפך פעיל ביוני 2024. הקבוצה מפעילה וקטורי תקיפה שונים, כולל דיוג SMS (סמיסינג) ודיוג קולי (וויזינג), כדי להונות קורבנות להתקנת תוכנת ניטור וניהול מרחוק (RMM).
השתייכות לקבוצות כופר גדולות
ל-EncryptHub יש קשרים חזקים לקבוצות RansomHub ו- Blacksuit Ransomware . במהלך תשעת החודשים האחרונים, היא התפשרה על יותר מ-618 יעדים בעלי ערך גבוה בתעשיות מרובות תוך שימוש בטכניקות הנדסה חברתית מתקדמות. טקטיקה נפוצה כוללת אתרי פישינג שנועדו לגנוב אישורי VPN, ולאחר מכן שיחה המתחזה לתמיכת IT כדי לשכנע קורבנות להזין את הפרטים שלהם. במקרים שבהם לא נעשה שימוש בשיחות, קישורים מזויפים של Microsoft Teams משמשים כפיתיון.
אירוח חסין כדורים ופריסה של תוכנות זדוניות
כדי להתחמק מזיהוי, EncryptHub מארח אתרי דיוג אצל ספקי אירוח חסיני כדורים כמו Yalishand. לאחר השגת גישה, התוקף מפעיל סקריפטים של PowerShell כדי להתקין תוכנות זדוניות גניבות כגון Fickle , StealC ו- Rhadamanthys . ברוב המקרים, המטרה הסופית היא לפרוס תוכנות כופר ולסחוט תשלום כופר.
יישומים טרויאניים כנקודת כניסה מרכזית
שיטה נפוצה נוספת כוללת הסוואת תוכנות זדוניות כתוכנה לגיטימית. EncryptHub מפיצה גרסאות מזויפות של אפליקציות כמו QQ Talk, QQ Installer, WeChat, DingTalk, VooV Meeting, Google Meet, Microsoft Visual Studio 2022 ו-Palo Alto Global Protect. לאחר ההתקנה, היישומים המזויפים הללו מתחילים תהליך רב-שלבי, ובסופו של דבר מספקים מטענים לא בטוחים כמו ה- Kematian Stealer לאיסוף קובצי Cookie של דפדפן ונתונים רגישים אחרים.
LabInstalls: מרכיב חיוני בהפצת תוכנות זדוניות
מאז 2 בינואר 2025 לפחות, EncryptHub הסתמכה על LabInstalls, שירות PPI המציע התקנת תוכנות זדוניות בתפזורת בתשלום. המחירים נעים בין 10$ ל-100 מטענים ל-450$ ל-10,000 מטענים. EncryptHub אישרה את השימוש שלה בשירות על ידי השארת משוב חיובי בפורום מחתרתי דובר רוסית, אפילו שיתוף צילום מסך כראיה. זה מצביע על כך שהשחקן מוציא את ההפצה למיקור חוץ כדי להגדיל את הפעילות שלו בצורה יעילה יותר.
EncryptRAT: האבולוציה הבאה בפשעי סייבר
EncryptHub מפתחת באופן פעיל את EncryptRAT, פאנל Command-and-Control (C2) שנועד לנהל מערכות נגועות, ביצוע פקודות מרחוק וגישה לנתונים גנובים. כמה ראיות מצביעות על כך שהקבוצה מתכננת למסחר את הכלי הזה, מה שעלול להגביר את האיום שלו על עסקים ויחידים כאחד.
הצורך בערנות ובהגנה יזומה
ההתאמה וההתפתחות המתמשכת של EncryptHub מדגישים את הצורך הדחוף של ארגונים לאמץ אסטרטגיות אבטחה רב-שכבתיות. ניטור מתמיד, אמצעי הגנה פרואקטיביים והדרכה למודעות משתמשים חיוניים להפחתת הסיכונים הנשקפים מאיום הסייבר הגובר הזה.
