Rabatttilbud for flere lisenser
Trusseldatabase Fjernadministrasjonsverktøy EncryptRAT

EncryptRAT

Med Mezo i Fjernadministrasjonsverktøy
Oversett til:
Norsk

Den økonomisk motiverte trusselaktøren kjent som EncryptHub har aktivt orkestrert avanserte phishing-kampanjer for å distribuere informasjonstyvere og løsepengeprogramvare. I tillegg jobber gruppen med et nytt truende verktøy kalt EncryptRAT, som signaliserer dens kontinuerlige utvikling i cyberkriminalitetslandskapet.

Målretting av populære applikasjoner og bruk av PPI-tjenester

EncryptHub har blitt observert distribuere trojaniserte versjoner av mye brukte applikasjoner for å infiltrere ofrenes systemer. Gruppen utnytter også tredjeparts Pay-Per-Install-tjenester (PPI), som LabInstalls, for å utvide rekkevidden til deres malware-kampanjer.

Operasjonelle sikkerhetsfeil og utnyttelse av utnyttelse

Cybersikkerhetsforskere har identifisert EncryptHub som en hackergruppe som ofte gjør operasjonelle sikkerhetsfeil. Til tross for disse feilene, har gruppen vellykket integrert utnyttelser for allment kjente sikkerhetssårbarheter i sine angrep, noe som gjør dem til en vedvarende trussel.

Ny trussel: LARVA-208 og flerkanalsangrep

Også sporet av et sveitsisk cybersikkerhetsfirma som LARVA-208, antas EncryptHub å ha blitt aktiv i juni 2024. Gruppen bruker forskjellige angrepsvektorer, inkludert SMS-phishing (smishing) og stemme-phishing (vishing), for å lure ofre til å installere programvare for ekstern overvåking og administrasjon (RMM).

Tilknytning til store ransomware-grupper

EncryptHub har sterke bånd til RansomHub og Blacksuit Ransomware- gruppene. I løpet av de siste ni månedene har den kompromittert mer enn 618 verdifulle mål på tvers av flere bransjer ved å bruke avanserte sosiale ingeniørteknikker. En vanlig taktikk involverer phishing-nettsteder designet for å stjele VPN-legitimasjon, etterfulgt av en samtale som utgir seg for å utgi seg for IT-støtte for å overtale ofre til å oppgi detaljer. I tilfeller der samtaler ikke brukes, fungerer falske Microsoft Teams-koblinger som lokkemat.

Bulletproof Hosting og distribusjon av skadelig programvare

For å unngå gjenkjenning, er EncryptHub vert for phishing-nettsteder på skuddsikre vertsleverandører som Yalishand. Når tilgang er oppnådd, kjører angriperen PowerShell-skript for å installere tyverisk skadelig programvare som Fickle , StealC og Rhadamanthys . I de fleste tilfeller er det endelige målet å distribuere løsepengevare og presse ut løsepenger.

Trojaniserte applikasjoner som et nøkkelinngangspunkt

En annen vanlig metode innebærer å skjule skadelig programvare som legitim programvare. EncryptHub har distribuert falske versjoner av applikasjoner som QQ Talk, QQ Installer, WeChat, DingTalk, VooV Meeting, Google Meet, Microsoft Visual Studio 2022 og Palo Alto Global Protect. Når de er installert, starter disse forfalskede applikasjonene en flertrinnsprosess, og leverer til slutt utrygge nyttelaster som Kematian Stealer for å samle nettleserinformasjonskapsler og andre sensitive data.

LabInstalls: Et avgjørende element i distribusjon av skadelig programvare

Siden minst 2. januar 2025 har EncryptHub stolt på LabInstalls, en PPI-tjeneste som tilbyr bulkinstallasjon av skadelig programvare mot en avgift. Prisene varierer fra $10 for 100 lass til $450 for 10 000 lass. EncryptHub bekreftet bruken av tjenesten ved å gi positive tilbakemeldinger på et russisktalende underjordisk forum, til og med å dele et skjermbilde som bevis. Dette tyder på at aktøren outsourcer distribusjon for å skalere driften mer effektivt.

EncryptRAT: The Next Evolution in Cybercrime

EncryptHub utvikler aktivt EncryptRAT, et Command-and-Control-panel (C2) designet for å administrere infiserte systemer, utføre eksterne kommandoer og få tilgang til stjålne data. Noen bevis tyder på at gruppen planlegger å kommersialisere dette verktøyet, og potensielt øke trusselen mot bedrifter og enkeltpersoner.

Behovet for årvåkenhet og proaktivt forsvar

EncryptHubs kontinuerlige tilpasning og utvikling fremhever det presserende behovet for organisasjoner for å ta i bruk flerlags sikkerhetsstrategier. Konstant overvåking, proaktive forsvarstiltak og opplæring i brukerbevissthet er avgjørende for å redusere risikoen som denne økende cybertrusselen utgjør.

Trender

Mest sett

Laster inn...