EncryptRAT
Finansiškai motyvuotas grėsmių veikėjas, žinomas kaip EncryptHub, aktyviai rengia pažangias sukčiavimo kampanijas, siekdamas įdiegti informacijos vagystes ir išpirkos reikalaujančias programas. Be to, grupė dirba su nauju grėsmingu įrankiu, vadinamu EncryptRAT, pranešančiu apie nuolatinę jos raidą kibernetinių nusikaltimų srityje.
Turinys
Taikymas pagal populiarias programas ir PPI paslaugų naudojimas
Pastebėta, kad EncryptHub platina Trojanizuotas plačiai naudojamų programų versijas, kad įsiskverbtų į aukų sistemas. Grupė taip pat naudoja trečiųjų šalių mokėjimo už diegimą (PPI) paslaugas, pvz., LabInstalls, kad padidintų savo kenkėjiškų programų kampanijų pasiekiamumą.
Veiklos saugumo klaidos ir išnaudojimas
Kibernetinio saugumo tyrėjai nustatė, kad EncryptHub yra įsilaužimo grupė, kuri dažnai daro veikimo saugumo klaidas. Nepaisant šių klaidų, grupė sėkmingai integruoja plačiai žinomų saugumo spragų išnaudojimus į savo atakas, todėl jos tampa nuolatine grėsme.
Kylanti grėsmė: LARVA-208 ir kelių kanalų atakos
Manoma, kad Šveicarijos kibernetinio saugumo įmonė taip pat stebima kaip LARVA-208. Manoma, kad „EncryptHub“ suaktyvėjo 2024 m. birželio mėn. Grupė naudoja įvairius atakų vektorius, įskaitant SMS sukčiavimą (sushing) ir balso sukčiavimą (vishing), kad apgautų aukas ir įdiegtų nuotolinio stebėjimo ir valdymo (RMM) programinę įrangą.
Ryšiai su pagrindinėmis Ransomware grupėmis
EncryptHub palaiko tvirtus ryšius su RansomHub ir Blacksuit Ransomware grupėmis. Per pastaruosius devynis mėnesius ji pasiekė daugiau nei 618 didelės vertės tikslų įvairiose pramonės šakose, naudodama pažangias socialinės inžinerijos technologijas. Įprasta taktika apima sukčiavimo svetaines, skirtas vogti VPN kredencialus, o po to skambinama IT pagalba, siekiant įtikinti aukas įvesti savo duomenis. Tais atvejais, kai skambučiai nenaudojami, netikros Microsoft Teams nuorodos yra masalas.
Neperšaunamas priegloba ir kenkėjiškų programų diegimas
Kad būtų išvengta aptikimo, „EncryptHub“ priglobia sukčiavimo svetaines neperšaunamų prieglobos paslaugų teikėjų, pvz., „Yalishand“. Gavęs prieigą, užpuolikas vykdo „PowerShell“ scenarijus, kad įdiegtų vagių kenkėjiškas programas, tokias kaip „Fickle“ , „StealC“ ir „Rhadamanthys“ . Daugeliu atvejų galutinis tikslas yra įdiegti išpirkos reikalaujančią programinę įrangą ir išieškoti išpirkos mokestį.
Trojanizuotos programos kaip pagrindinis įėjimo taškas
Kitas dažniausiai naudojamas metodas apima kenkėjiškų programų užmaskavimą kaip teisėtą programinę įrangą. „EncryptHub“ platina netikras programų, tokių kaip „QQ Talk“, „QQ Installer“, „WeChat“, „DingTalk“, „VooV Meeting“, „Google Meet“, „Microsoft Visual Studio 2022“ ir „Palo Alto Global Protect“, versijas. Įdiegtos šios suklastotos programos pradeda kelių etapų procesą ir galiausiai pateikia nesaugius krovinius, pvz., „Kematian Stealer“, kad rinktų naršyklės slapukus ir kitus neskelbtinus duomenis.
LabInstalls: esminis kenkėjiškų programų platinimo elementas
Bent jau nuo 2025 m. sausio 2 d. „EncryptHub“ naudojasi „LabInstalls“ – PPI paslauga, kuri už mokestį siūlo masinį kenkėjiškų programų diegimą. Kainos svyruoja nuo 10 USD už 100 krovinių iki 450 USD už 10 000 krovinių. „EncryptHub“ patvirtino, kad naudojasi paslauga, palikdamas teigiamą atsiliepimą rusakalbiame pogrindžio forume, netgi pasidalydamas ekrano kopija kaip įrodymu. Tai rodo, kad aktorius perduoda platinimą iš išorės, kad galėtų efektyviau išplėsti savo veiklą.
EncryptRAT: kita elektroninių nusikaltimų raida
EncryptHub aktyviai kuria EncryptRAT – komandų ir valdymo (C2) skydelį, skirtą valdyti užkrėstas sistemas, vykdyti nuotolines komandas ir pasiekti pavogtus duomenis. Kai kurie įrodymai rodo, kad grupė gali planuoti komercializuoti šį įrankį, o tai gali padidinti grėsmę įmonėms ir asmenims.
Budrumo ir iniciatyvios gynybos poreikis
Nuolatinis „EncryptHub“ pritaikymas ir evoliucija pabrėžia, kad organizacijoms reikia skubiai taikyti daugiasluoksnes saugos strategijas. Nuolatinė stebėsena, aktyvios gynybos priemonės ir vartotojų informuotumo mokymai yra būtini norint sumažinti šios augančios kibernetinės grėsmės keliamą riziką.
