EncryptRAT
L'attore di minacce motivato finanziariamente noto come EncryptHub ha attivamente orchestrato campagne di phishing avanzate per distribuire ladri di informazioni e ransomware. Inoltre, il gruppo sta lavorando a un nuovo strumento minaccioso chiamato EncryptRAT, che segnala la sua continua evoluzione nel panorama della criminalità informatica.
Sommario
Targeting per applicazioni popolari e utilizzo dei servizi PPI
EncryptHub è stato osservato mentre distribuiva versioni trojanizzate di applicazioni ampiamente utilizzate per infiltrarsi nei sistemi delle vittime. Il gruppo sfrutta anche servizi Pay-Per-Install (PPI) di terze parti, come LabInstalls, per ampliare la portata delle proprie campagne malware.
Errori di sicurezza operativa e sfruttamento degli exploit
I ricercatori di sicurezza informatica hanno identificato EncryptHub come un gruppo di hacker che commette frequentemente errori di sicurezza operativa. Nonostante questi errori, il gruppo integra con successo exploit per vulnerabilità di sicurezza ampiamente note nei suoi attacchi, rendendoli una minaccia persistente.
Minaccia emergente: LARVA-208 e attacchi multicanale
Tracciato anche da un'azienda svizzera di sicurezza informatica come LARVA-208, si ritiene che EncryptHub sia diventato attivo nel giugno 2024. Il gruppo impiega vari vettori di attacco, tra cui SMS phishing (smishing) e voice phishing (vishing), per ingannare le vittime e indurle a installare software di monitoraggio e gestione remota (RMM).
Affiliazioni con i principali gruppi ransomware
EncryptHub ha forti legami con i gruppi RansomHub e Blacksuit Ransomware . Negli ultimi nove mesi, ha compromesso più di 618 obiettivi di alto valore in diversi settori utilizzando tecniche avanzate di ingegneria sociale. Una tattica comune prevede siti Web di phishing progettati per rubare credenziali VPN, seguiti da una chiamata che impersona il supporto IT per convincere le vittime a inserire i propri dati. Nei casi in cui le chiamate non vengono utilizzate, i falsi link di Microsoft Teams fungono da esca.
Hosting a prova di proiettile e distribuzione di malware
Per eludere il rilevamento, EncryptHub ospita siti di phishing su provider di hosting a prova di proiettile come Yalishand. Una volta ottenuto l'accesso, l'aggressore esegue script PowerShell per installare malware stealer come Fickle , StealC e Rhadamanthys . Nella maggior parte dei casi, l'obiettivo finale è distribuire ransomware ed estorcere un pagamento di riscatto.
Applicazioni trojanizzate come punto di ingresso chiave
Un altro metodo comunemente utilizzato consiste nel camuffare il malware come software legittimo. EncryptHub ha distribuito versioni false di applicazioni come QQ Talk, QQ Installer, WeChat, DingTalk, VooV Meeting, Google Meet, Microsoft Visual Studio 2022 e Palo Alto Global Protect. Una volta installate, queste applicazioni contraffatte avviano un processo in più fasi, che alla fine fornisce payload non sicuri come Kematian Stealer per raccogliere cookie del browser e altri dati sensibili.
LabInstalls: un elemento cruciale nella distribuzione del malware
Almeno dal 2 gennaio 2025, EncryptHub si è affidato a LabInstalls, un servizio PPI che offre l'installazione di malware in blocco a pagamento. I prezzi variano da $ 10 per 100 caricamenti a $ 450 per 10.000 caricamenti. EncryptHub ha confermato l'utilizzo del servizio lasciando un feedback positivo su un forum underground di lingua russa, condividendo persino uno screenshot come prova. Ciò suggerisce che l'attore sta esternalizzando la distribuzione per scalare le sue operazioni in modo più efficiente.
EncryptRAT: la prossima evoluzione della criminalità informatica
EncryptHub sta sviluppando attivamente EncryptRAT, un pannello Command-and-Control (C2) progettato per gestire sistemi infetti, eseguire comandi remoti e accedere a dati rubati. Alcune prove suggeriscono che il gruppo potrebbe pianificare di commercializzare questo strumento, aumentando potenzialmente la sua minaccia per aziende e privati.
La necessità di vigilanza e difesa proattiva
L'adattamento e l'evoluzione continui di EncryptHub evidenziano l'urgente necessità per le organizzazioni di adottare strategie di sicurezza multistrato. Monitoraggio costante, misure di difesa proattive e formazione sulla consapevolezza degli utenti sono essenziali per mitigare i rischi posti da questa crescente minaccia informatica.
