EncryptRAT
Finansiāli motivētais apdraudējums, kas pazīstams kā EncryptHub, ir aktīvi organizējis uzlabotas pikšķerēšanas kampaņas, lai izvietotu informācijas zagļus un izspiedējprogrammatūru. Turklāt grupa strādā pie jauna apdraudoša rīka EncryptRAT, kas norāda uz tā nepārtraukto attīstību kibernoziedzības vidē.
Satura rādītājs
Mērķauditorijas atlase pēc populārām lietojumprogrammām un PPI pakalpojumu izmantošana
Ir novērots, ka EncryptHub izplata plaši izmantotu lietojumprogrammu Trojas versijas, lai iefiltrētos upuru sistēmās. Grupa izmanto arī trešo pušu Pay-Per-Install (PPI) pakalpojumus, piemēram, LabInstalls, lai paplašinātu ļaunprātīgas programmatūras kampaņu sasniedzamību.
Darbības drošības kļūdas un ekspluatācijas izmantošana
Kiberdrošības pētnieki ir identificējuši EncryptHub kā hakeru grupu, kas bieži pieļauj darbības drošības kļūdas. Neskatoties uz šīm kļūdām, grupa savos uzbrukumos veiksmīgi integrē plaši zināmu drošības ievainojamību izmantošanu, padarot tos par pastāvīgu draudu.
Jauni draudi: LARVA-208 un daudzkanālu uzbrukumi
Tiek uzskatīts, ka EncryptHub, ko izseko arī Šveices kiberdrošības uzņēmums ar nosaukumu LARVA-208, ir aktivizējies 2024. gada jūnijā. Grupa izmanto dažādus uzbrukuma vektorus, tostarp SMS pikšķerēšanu (sishing) un balss pikšķerēšanu (vishing), lai maldinātu upurus, lai viņi instalētu attālās uzraudzības un pārvaldības (RMM) programmatūru.
Saistība ar lielākajām Ransomware grupām
EncryptHub ir ciešas saites ar RansomHub un Blacksuit Ransomware grupām. Pēdējo deviņu mēnešu laikā tas ir apdraudējis vairāk nekā 618 augstvērtīgus mērķus vairākās nozarēs, izmantojot progresīvas sociālās inženierijas metodes. Izplatīta taktika ietver pikšķerēšanas vietnes, kas paredzētas VPN akreditācijas datu nozagšanai, kam seko zvans, kas uzdodas par IT atbalstu, lai pārliecinātu upurus ievadīt savus datus. Gadījumos, kad zvani netiek izmantoti, viltotas Microsoft Teams saites kalpo kā ēsma.
Ložu necaurlaidīgs hostings un ļaunprātīgas programmatūras izvietošana
Lai izvairītos no atklāšanas, EncryptHub mitina pikšķerēšanas vietnes pie ložu necaurlaidīgajiem mitināšanas pakalpojumu sniedzējiem, piemēram, Yalishand. Kad piekļuve ir iegūta, uzbrucējs izpilda PowerShell skriptus, lai instalētu zagļu ļaunprātīgu programmatūru, piemēram, Fickle , StealC un Rhadamanthys . Vairumā gadījumu galvenais mērķis ir izvietot izpirkuma programmatūru un izspiest izpirkuma maksu.
Trojanizētās lietojumprogrammas kā galvenais ieejas punkts
Vēl viena bieži izmantota metode ir ļaunprātīgas programmatūras maskēšana kā likumīga programmatūra. EncryptHub ir izplatījis viltotas lietojumprogrammu versijas, piemēram, QQ Talk, QQ Installer, WeChat, DingTalk, VooV Meeting, Google Meet, Microsoft Visual Studio 2022 un Palo Alto Global Protect. Pēc instalēšanas šīs viltotās lietojumprogrammas sāk daudzpakāpju procesu, galu galā piegādājot nedrošas kravas, piemēram, Kematian Stealer, lai vāktu pārlūkprogrammas sīkfailus un citus sensitīvus datus.
LabInstalls: būtisks elements ļaunprātīgas programmatūras izplatīšanā
Vismaz kopš 2025. gada 2. janvāra EncryptHub ir paļāvies uz LabInstalls — PPI pakalpojumu, kas piedāvā ļaunprātīgas programmatūras lielapjoma instalēšanu par maksu. Cenas svārstās no 10 USD par 100 slodzēm līdz 450 USD par 10 000 slodzēm. EncryptHub apstiprināja pakalpojuma izmantošanu, atstājot pozitīvas atsauksmes par krievvalodīgo pagrīdes forumu, kā pierādījumu pat kopīgojot ekrānuzņēmumu. Tas liecina, ka dalībnieks izmanto izplatīšanu ārpakalpojumos, lai efektīvāk mērogotu savas darbības.
EncryptRAT: nākamā kibernoziedzības attīstība
EncryptHub aktīvi izstrādā EncryptRAT — Command-and-Control (C2) paneli, kas paredzēts inficēto sistēmu pārvaldībai, attālo komandu izpildei un piekļuvei zagtiem datiem. Daži pierādījumi liecina, ka grupa, iespējams, plāno komercializēt šo rīku, potenciāli palielinot draudus uzņēmumiem un privātpersonām.
Nepieciešamība pēc modrības un proaktīvas aizsardzības
EncryptHub nepārtrauktā pielāgošanās un evolūcija uzsver, ka organizācijām ir steidzami jāpieņem daudzslāņu drošības stratēģijas. Pastāvīga uzraudzība, proaktīvi aizsardzības pasākumi un lietotāju izpratnes apmācība ir būtiska, lai mazinātu riskus, ko rada šis pieaugošais kiberdrauds.
