EncryptRAT
Actorul de amenințări motivat financiar cunoscut sub numele de EncryptHub a orchestrat activ campanii avansate de phishing pentru a implementa furturi de informații și ransomware. În plus, grupul lucrează la un nou instrument de amenințare numit EncryptRAT, care semnalează evoluția sa continuă în peisajul criminalității cibernetice.
Cuprins
Direcționarea aplicațiilor populare și utilizarea serviciilor PPI
S-a observat că EncryptHub distribuie versiuni troiene ale aplicațiilor utilizate pe scară largă pentru a se infiltra în sistemele victimelor. Grupul folosește, de asemenea, servicii Pay-Per-Install (PPI) terță parte, cum ar fi LabInstalls, pentru a extinde acoperirea campaniilor lor de malware.
Greșeli de securitate operațională și utilizare a exploatării
Cercetătorii în securitate cibernetică au identificat EncryptHub ca un grup de hacking care face frecvent erori de securitate operațională. În ciuda acestor greșeli, grupul integrează cu succes exploatările pentru vulnerabilitățile de securitate cunoscute pe scară largă în atacurile sale, făcându-le o amenințare persistentă.
Amenințare emergentă: LARVA-208 și atacuri pe mai multe canale
De asemenea, urmărit de o firmă elvețiană de securitate cibernetică ca LARVA-208, se crede că EncryptHub a devenit activ în iunie 2024. Grupul folosește diferiți vectori de atac, inclusiv phishing prin SMS (smishing) și phishing vocal (vishing), pentru a înșela victimele să instaleze software-ul de monitorizare și management de la distanță (RMM).
Afilieri cu grupuri majore de ransomware
EncryptHub are legături puternice cu grupurile RansomHub și Blacksuit Ransomware . În ultimele nouă luni, a compromis peste 618 ținte de mare valoare din mai multe industrii folosind tehnici avansate de inginerie socială. O tactică comună implică site-uri web de phishing concepute pentru a fura acreditările VPN, urmate de un apel care uzurpa identitatea suportului IT pentru a convinge victimele să le introducă detaliile. În cazurile în care apelurile nu sunt folosite, linkurile false Microsoft Teams servesc drept momeală.
Gazduire anti-glonț și implementare malware
Pentru a evita detectarea, EncryptHub găzduiește site-uri de phishing pe furnizori de găzduire antiglonț precum Yalishand. Odată ce accesul este obținut, atacatorul execută scripturi PowerShell pentru a instala programe malware fură, cum ar fi Fickle , StealC și Rhadamanthys . În cele mai multe cazuri, obiectivul final este de a implementa ransomware și de a extorca o plată de răscumpărare.
Aplicațiile troiene ca punct cheie de intrare
O altă metodă folosită în mod obișnuit implică deghizarea malware-ului ca software legitim. EncryptHub a distribuit versiuni false ale aplicațiilor precum QQ Talk, QQ Installer, WeChat, DingTalk, VooV Meeting, Google Meet, Microsoft Visual Studio 2022 și Palo Alto Global Protect. Odată instalate, aceste aplicații contrafăcute inițiază un proces în mai multe etape, livrând în cele din urmă încărcături utile nesigure precum Kematian Stealer pentru a colecta cookie-uri de browser și alte date sensibile.
LabInstalls: un element crucial în distribuția malware
Începând cu cel puțin 2 ianuarie 2025, EncryptHub s-a bazat pe LabInstalls, un serviciu PPI care oferă instalarea de programe malware în vrac contra cost. Prețurile variază de la 10 USD pentru 100 de încărcări la 450 USD pentru 10.000 de încărcări. EncryptHub a confirmat utilizarea serviciului lăsând feedback pozitiv pe un forum subteran vorbitor de limbă rusă, partajând chiar și o captură de ecran ca dovadă. Acest lucru sugerează că actorul externalizează distribuția pentru a-și scala operațiunile mai eficient.
EncryptRAT: Următoarea evoluție în criminalitatea cibernetică
EncryptHub dezvoltă activ EncryptRAT, un panou de comandă și control (C2) conceput pentru a gestiona sistemele infectate, pentru a executa comenzi de la distanță și pentru a accesa datele furate. Unele dovezi sugerează că grupul ar putea intenționa să comercializeze acest instrument, sporind potențial amenințarea acestuia pentru companii și persoane deopotrivă.
Nevoia de vigilență și apărare proactivă
Adaptarea și evoluția continuă a EncryptHub evidențiază nevoia urgentă a organizațiilor de a adopta strategii de securitate pe mai multe straturi. Monitorizarea constantă, măsurile de apărare proactive și instruirea utilizatorilor sunt esențiale pentru atenuarea riscurilor prezentate de această amenințare cibernetică în creștere.
