RansmHub Ransomware

Os analistas de segurança cibernética descobriram uma nova variedade de ransomware chamada RansomHub. Segundo relatos, os cibercriminosos por trás disso afirmam que não terão como alvo entidades nos países da Comunidade de Estados Independentes (CEI), Cuba, Coreia do Norte e China. Apesar desta declaração, eles têm infectado ativamente várias organizações proeminentes num curto espaço de tempo. Entre suas vítimas estão Change Healthcare, Christie's e Frontier Communications. Notavelmente, os pesquisadores destacam que o RansomHub tem uma semelhança significativa com o Knight Ransomware, que é uma iteração do ransomware anteriormente identificado chamado Cyclops.

O Código do Knight Ransomware foi Oferecido para Venda a Todos os Cibercriminosos

O Knight Ransomware, também conhecido como Cyclops 2.0, surgiu em maio de 2023, utilizando técnicas de dupla extorsão para roubar e criptografar os dados das vítimas para obter lucro. É capaz de operar em diversas plataformas, incluindo Windows, Linux, macOS, ESXi e Android.

Vendidos no fórum de crimes cibernéticos RAMP, os ataques com esse ransomware geralmente dependiam de táticas de phishing e spear-phishing, usando anexos fraudulentos para distribuição. A operação Ransomware-as-a-Service (RaaS) cessou no final de fevereiro de 2024, com seu código-fonte colocado à venda. Esta mudança levantou a possibilidade de transferência para um novo ator, que pode tê-lo atualizado e relançado sob o nome de RansomHub.

Sobreposições Significativas entre o RansomHub e o Knight Ransomware

Ambas as cepas de ransomware são escritas em Go, e a maioria das versões de cada família são ofuscadas com Gobfuscate. Há um grau significativo de semelhança de código entre os dois, tornando difícil distingui-los.

Ambas as famílias de ransomware compartilham menus de ajuda idênticos na interface de linha de comando. No entanto, o RansomHub introduz uma nova opção de ‘suspensão’, permitindo-lhe permanecer inativo por um período especificado (em minutos) antes de ser executado. Comandos de suspensão semelhantes foram observados em outras ameaças, como Chaos/Yashma e o Trigona Ransomware.

As semelhanças entre o Knight e o RansomHub estendem-se às técnicas de ofuscação usadas para codificar strings, ao conteúdo das notas de resgate deixadas após a criptografia dos arquivos e à sua capacidade de reinicializar um host no modo de segurança antes do início da criptografia.

A principal diferença está no conjunto de comandos executados via cmd.exe, embora sua sequência e execução em relação a outras operações permaneçam as mesmas.

O RansomHub Ransomware pode estar sendo Operado por Cibercriminosos Veteranos

Foram observados ataques RansomHub explorando vulnerabilidades de segurança conhecidas (como ZeroLogon ) para obter acesso inicial. Eles descartam softwares de desktop remoto como Atera e Splashtop antes de implantar ransomware. Somente em abril de 2024, quase 30 ataques confirmados foram associados a esta variedade de ransomware.

Os pesquisadores suspeitam que o RansomHub está procurando ativamente afiliados afetados por recentes paralisações ou táticas de saída, como as do LockBit e BlackCat (também conhecido como ALPHV e Noberus). Acredita-se que um ex-afiliado da Noberus chamado Notchy possa agora estar colaborando com o RansomHub. Além disso, ferramentas anteriormente associadas a outra afiliada da Noberus, a Scattered Spider, foram usadas em um ataque recente ao RansomHub.

A rápida expansão das operações do RansomHub sugere que o grupo pode incluir operadores experientes com experiência e conexões no submundo cibernético.

Os Ataques de Ransomware estão Aumentando Novamente

O desenvolvimento do RansomHub ocorre em meio a um aumento na atividade de ransomware em 2023, após uma ligeira diminuição em 2022. Curiosamente, cerca de um terço das 50 novas famílias de ransomware descobertas durante o ano são variações de famílias previamente identificadas. Esta tendência sugere uma prevalência crescente de reciclagem de código, sobreposições de atores e estratégias de rebranding.

Esses ataques são notáveis pelo uso de ferramentas de desktop remoto legítimas e disponíveis comercialmente, em vez de depender do Cobalt Strike . A crescente dependência de tais ferramentas legítimas provavelmente indica os esforços dos atacantes para escapar aos mecanismos de detecção e agilizar as suas operações, reduzindo a necessidade de desenvolver e manter ferramentas personalizadas.

A nota de resgate que as vítimas do RansomHub Ransomware receberão diz:

'Hello!

Visit our Blog:

Tor Browser Links:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion/

Links for normal browser:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion.ly/

>>> Your data is stolen and encrypted.

- If you don't pay the ransom, the data will be published on our TOR darknet sites. Keep in mind that once your data appears on our leak site, it could be bought by your competitors at any second, so don't hesitate for a long time. The sooner you pay the ransom, the sooner your company will be safe.

>>> If you have an external or cloud backup; what happens if you don’t agree with us?

- All countries have their own PDPL (Personal Data Protection Law) regulations. In the event that you do not agree with us, information pertaining to your companies and the data of your company’s customers will be published on the internet, and the respective country’s personal data usage authority will be informed. Moreover, confidential data related to your company will be shared with potential competitors through email and social media. You can be sure that you will incur damages far exceeding the amount we are requesting from you should you decide not to agree with us.

>>> Don't go to the police or the FBI for help and don't tell anyone that we attacked you.

- Seeking their help will only make the situation worse,They will try to prevent you from negotiating with us, because the negotiations will make them look incompetent,After the incident report is handed over to the government department, you will be fined ,The government uses your fine to reward them.And you will not get anything, and except you and your company, the rest of the people will forget what happened!!!!!

>>> How to contact with us?

- Install and run 'Tor Browser' from hxxps://www.torproject.org/download/
- Go to hxxp://h6tejafqdkdltp****************seslv6djgiukiii573xtid.onion/
- Log in using the Client ID: -

>>> WARNING

DO NOT MODIFY ENCRYPTED FILES YOURSELF.
DO NOT USE THIRD PARTY SOFTWARE TO RESTORE YOUR DATA.
YOU MAY DAMAGE YOUR FILES, IT WILL RESULT IN PERMANENT DATA LOSS.'