EncryptRAT
De financieel gemotiveerde dreigingsactor die bekendstaat als EncryptHub, heeft actief geavanceerde phishingcampagnes georkestreerd om informatiedieven en ransomware in te zetten. Daarnaast werkt de groep aan een nieuwe bedreigende tool genaamd EncryptRAT, wat een signaal is van de voortdurende evolutie ervan in het cybercrimelandschap.
Inhoudsopgave
Targeting van populaire applicaties en gebruik van PPI-services
Er is waargenomen dat EncryptHub trojan-versies van veelgebruikte applicaties verspreidt om de systemen van slachtoffers te infiltreren. De groep maakt ook gebruik van Pay-Per-Install (PPI)-services van derden, zoals LabInstalls, om het bereik van hun malwarecampagnes te vergroten.
Operationele beveiligingsfouten en exploit-gebruik
Cybersecurity-onderzoekers hebben EncryptHub geïdentificeerd als een hackersgroep die regelmatig operationele beveiligingsfouten maakt. Ondanks deze fouten integreert de groep met succes exploits voor algemeen bekende beveiligingskwetsbaarheden in haar aanvallen, waardoor ze een aanhoudende bedreiging vormen.
Opkomende dreiging: LARVA-208 en multi-channel aanvallen
EncryptHub, dat ook door een Zwitsers cybersecuritybedrijf wordt gevolgd als LARVA-208, zou in juni 2024 actief zijn geworden. De groep maakt gebruik van verschillende aanvalsvectoren, waaronder sms-phishing (smishing) en voice-phishing (vishing), om slachtoffers te misleiden tot het installeren van Remote Monitoring and Management (RMM)-software.
Aansluitingen bij grote ransomwaregroepen
EncryptHub heeft sterke banden met de RansomHub en Blacksuit Ransomware groepen. In de afgelopen negen maanden heeft het meer dan 618 waardevolle doelen in meerdere branches gecompromitteerd met behulp van geavanceerde social engineering technieken. Een veelvoorkomende tactiek is het gebruik van phishing websites die zijn ontworpen om VPN-referenties te stelen, gevolgd door een telefoontje dat zich voordoet als IT-ondersteuning om slachtoffers over te halen hun gegevens in te voeren. In gevallen waarin telefoontjes niet worden gebruikt, dienen nep Microsoft Teams links als lokaas.
Kogelvrije hosting en malware-implementatie
Om detectie te omzeilen, host EncryptHub phishingsites op bulletproof hostingproviders zoals Yalishand. Zodra toegang is verkregen, voert de aanvaller PowerShell-scripts uit om stealer-malware te installeren zoals Fickle , StealC en Rhadamanthys . In de meeste gevallen is het uiteindelijke doel om ransomware te implementeren en losgeld af te persen.
Trojan-applicaties als belangrijk toegangspunt
Een andere veelgebruikte methode is het vermommen van malware als legitieme software. EncryptHub heeft nepversies van applicaties verspreid zoals QQ Talk, QQ Installer, WeChat, DingTalk, VooV Meeting, Google Meet, Microsoft Visual Studio 2022 en Palo Alto Global Protect. Na installatie starten deze namaakapplicaties een proces in meerdere fasen, waarbij uiteindelijk onveilige payloads worden geleverd zoals de Kematian Stealer om browsercookies en andere gevoelige gegevens te verzamelen.
LabInstalls: een cruciaal element in de verspreiding van malware
Sinds ten minste 2 januari 2025 vertrouwt EncryptHub op LabInstalls, een PPI-service die bulk-malware-installaties aanbiedt tegen betaling. Prijzen variëren van $ 10 voor 100 ladingen tot $ 450 voor 10.000 ladingen. EncryptHub bevestigde het gebruik van de service door positieve feedback achter te laten op een Russischtalig ondergronds forum, en deelde zelfs een screenshot als bewijs. Dit suggereert dat de actor de distributie uitbesteedt om zijn activiteiten efficiënter te schalen.
EncryptRAT: de volgende evolutie in cybercriminaliteit
EncryptHub is actief bezig met de ontwikkeling van EncryptRAT, een Command-and-Control (C2) paneel dat is ontworpen om geïnfecteerde systemen te beheren, externe commando's uit te voeren en toegang te krijgen tot gestolen data. Sommige bewijzen suggereren dat de groep van plan is om deze tool te commercialiseren, wat de dreiging voor zowel bedrijven als individuen kan vergroten.
De noodzaak van waakzaamheid en proactieve verdediging
De voortdurende aanpassing en evolutie van EncryptHub benadrukken de dringende noodzaak voor organisaties om gelaagde beveiligingsstrategieën te implementeren. Constante monitoring, proactieve verdedigingsmaatregelen en training in gebruikersbewustzijn zijn essentieel om de risico's van deze groeiende cyberdreiging te beperken.
