EncryptRAT
Aktori i kërcënimit i motivuar financiarisht i njohur si EncryptHub ka orkestruar në mënyrë aktive fushata të avancuara të phishing për të vendosur vjedhës informacioni dhe ransomware. Për më tepër, grupi po punon për një mjet të ri kërcënues të quajtur EncryptRAT, duke sinjalizuar evolucionin e tij të vazhdueshëm në peizazhin e krimit kibernetik.
Tabela e Përmbajtjes
Synimi i aplikacioneve të njohura dhe përdorimi i shërbimeve PPI
EncryptHub është vërejtur duke shpërndarë versione të trojanizuara të aplikacioneve të përdorura gjerësisht për të depërtuar në sistemet e viktimave. Grupi gjithashtu përdor shërbimet e palëve të treta Pay-Per-Install (PPI), të tilla si LabInstalls, për të zgjeruar shtrirjen e fushatave të tyre malware.
Gabimet e sigurisë operacionale dhe shfrytëzimi i shfrytëzimit
Studiuesit e sigurisë kibernetike kanë identifikuar EncryptHub si një grup hakerimi që shpesh bën gabime të sigurisë operacionale. Pavarësisht këtyre gabimeve, grupi integron me sukses shfrytëzimet për dobësitë e sigurisë të njohura gjerësisht në sulmet e tij, duke i bërë ato një kërcënim të vazhdueshëm.
Kërcënimi në zhvillim: LARVA-208 dhe sulme me shumë kanale
I gjurmuar gjithashtu nga një firmë zvicerane e sigurisë kibernetike si LARVA-208, EncryptHub besohet se është bërë aktiv në qershor 2024. Grupi përdor vektorë të ndryshëm sulmi, duke përfshirë phishing SMS (smishing) dhe phishing zanor (vishing), për të mashtruar viktimat në instalimin e softuerit të Monitorimit dhe Menaxhimit në distancë (RMM).
Lidhjet me Grupet kryesore të Ransomware
EncryptHub ka lidhje të forta me grupet RansomHub dhe Blacksuit Ransomware . Gjatë nëntë muajve të fundit, ajo ka komprometuar më shumë se 618 objektiva me vlerë të lartë në industri të shumta duke përdorur teknika të avancuara të inxhinierisë sociale. Një taktikë e zakonshme përfshin faqet e internetit të phishing të krijuara për të vjedhur kredencialet VPN, e ndjekur nga një telefonatë që imiton mbështetjen e TI-së për të bindur viktimat të fusin detajet e tyre. Në rastet kur telefonatat nuk përdoren, lidhjet e rreme të Microsoft Teams shërbejnë si karrem.
Pritja antiplumb dhe vendosja e malware
Për të shmangur zbulimin, EncryptHub pret sajte phishing në ofruesit e pritjes antiplumb si Yalishand. Pasi të arrihet qasja, sulmuesi ekzekuton skriptet PowerShell për të instaluar malware vjedhës si Fickle , StealC dhe Rhadamanthys . Në shumicën e rasteve, objektivi përfundimtar është vendosja e ransomware dhe zhvatja e një pagese shpërblimi.
Aplikacionet e Trojanizuara si një pikë kyçe hyrëse
Një metodë tjetër e përdorur zakonisht përfshin maskimin e malware si softuer legjitim. EncryptHub ka shpërndarë versione të rreme të aplikacioneve si QQ Talk, QQ Installer, WeChat, DingTalk, VooV Meeting, Google Meet, Microsoft Visual Studio 2022 dhe Palo Alto Global Protect. Pasi të instalohen, këto aplikacione të falsifikuara nisin një proces me shumë faza, duke ofruar përfundimisht ngarkesa të pasigurta si Kematian Stealer për të mbledhur kuki të shfletuesit dhe të dhëna të tjera të ndjeshme.
LabInstalls: Një element vendimtar në shpërndarjen e malware
Të paktën që nga 2 janari 2025, EncryptHub është mbështetur në LabInstalls, një shërbim PPI që ofron instalim masiv të malware për një tarifë. Çmimet variojnë nga 10 dollarë për 100 ngarkesa deri në 450 dollarë për 10,000 ngarkesa. EncryptHub konfirmoi përdorimin e tij të shërbimit duke lënë reagime pozitive në një forum nëntokësor rusishtfolës, madje duke ndarë një pamje nga ekrani si provë. Kjo sugjeron që aktori po kontrakton shpërndarjen për të shkallëzuar operacionet e tij në mënyrë më efikase.
EncryptRAT: Evolucioni i ardhshëm në krimin kibernetik
EncryptHub po zhvillon në mënyrë aktive EncryptRAT, një panel Command-and-Control (C2) i krijuar për të menaxhuar sistemet e infektuara, për të ekzekutuar komanda në distancë dhe për të hyrë në të dhënat e vjedhura. Disa prova sugjerojnë se grupi mund të jetë duke planifikuar të komercializojë këtë mjet, duke rritur potencialisht kërcënimin e tij për bizneset dhe individët.
Nevoja për vigjilencë dhe mbrojtje proaktive
Përshtatja dhe evolucioni i vazhdueshëm i EncryptHub nxjerr në pah nevojën urgjente që organizatat të miratojnë strategji sigurie me shumë shtresa. Monitorimi i vazhdueshëm, masat proaktive të mbrojtjes dhe trajnimi i ndërgjegjësimit të përdoruesve janë thelbësore për zbutjen e rreziqeve që vijnë nga ky kërcënim kibernetik në rritje.
