EncryptRAT
Den ekonomiskt motiverade hotaktören känd som EncryptHub har aktivt orkestrerat avancerade nätfiskekampanjer för att distribuera informationsstöldare och ransomware. Dessutom arbetar gruppen på ett nytt hotfullt verktyg kallat EncryptRAT, som signalerar dess kontinuerliga utveckling i cyberbrottslandskapet.
Innehållsförteckning
Inriktning på populära applikationer och användning av PPI-tjänster
EncryptHub har observerats distribuera trojaniserade versioner av ofta använda applikationer för att infiltrera offrens system. Gruppen utnyttjar också tredjeparts Pay-Per-Install-tjänster (PPI), såsom LabInstalls, för att bredda räckvidden för sina skadliga kampanjer.
Operativa säkerhetsmisstag och utnyttjande av utnyttjande
Cybersäkerhetsforskare har identifierat EncryptHub som en hackningsgrupp som ofta gör operativa säkerhetsfel. Trots dessa misstag har gruppen framgångsrikt integrerat utnyttjande av allmänt kända säkerhetsbrister i sina attacker, vilket gör dem till ett bestående hot.
Framväxande hot: LARVA-208 och flerkanalsattacker
EncryptHub, även spårad av ett schweiziskt cybersäkerhetsföretag som LARVA-208, tros ha blivit aktiv i juni 2024. Gruppen använder olika attackvektorer, inklusive SMS-nätfiske (smishing) och röstnätfiske (vishing), för att lura offer att installera programvara för fjärrövervakning och hantering (RMM).
Anknytning till stora Ransomware-grupper
EncryptHub har starka band till grupperna RansomHub och Blacksuit Ransomware . Under de senaste nio månaderna har den äventyrat mer än 618 värdefulla mål i flera branscher med hjälp av avancerad social ingenjörsteknik. En vanlig taktik involverar nätfiskewebbplatser som är utformade för att stjäla VPN-uppgifter, följt av ett samtal som imiterar IT-support för att övertyga offren att ange sina uppgifter. I de fall där samtal inte används fungerar falska Microsoft Teams-länkar som bete.
Skottsäker värd och distribution av skadlig programvara
För att undvika upptäckt är EncryptHub värd för nätfiskewebbplatser på skottsäkra värdleverantörer som Yalishand. När åtkomst har uppnåtts, kör angriparen PowerShell-skript för att installera skadlig programvara som Fickle , StealC och Rhadamanthys . I de flesta fall är det yttersta målet att distribuera ransomware och tvinga fram en lösensumma.
Trojaniserade applikationer som en viktig ingångspunkt
En annan vanlig metod är att maskera skadlig programvara som legitim programvara. EncryptHub har distribuerat falska versioner av applikationer som QQ Talk, QQ Installer, WeChat, DingTalk, VooV Meeting, Google Meet, Microsoft Visual Studio 2022 och Palo Alto Global Protect. När de väl har installerats initierar dessa förfalskade applikationer en process i flera steg, och levererar så småningom osäkra nyttolaster som Kematian Stealer för att samla in webbläsarcookies och annan känslig data.
LabInstalls: A Crucial Element in Malware Distribution
Sedan åtminstone den 2 januari 2025 har EncryptHub förlitat sig på LabInstalls, en PPI-tjänst som erbjuder bulkinstallation av skadlig programvara mot en avgift. Priserna varierar från 10 USD för 100 laddningar till 450 USD för 10 000 lass. EncryptHub bekräftade sin användning av tjänsten genom att lämna positiv feedback på ett rysktalande underjordiskt forum, till och med dela en skärmdump som bevis. Detta tyder på att aktören lägger ut distributionen på entreprenad för att skala sin verksamhet mer effektivt.
EncryptRAT: The Next Evolution in Cybercrime
EncryptHub utvecklar aktivt EncryptRAT, en Command-and-Control-panel (C2) designad för att hantera infekterade system, utföra fjärrkommandon och komma åt stulen data. Vissa bevis tyder på att gruppen planerar att kommersialisera detta verktyg, vilket potentiellt ökar dess hot mot både företag och individer.
Behovet av vaksamhet och proaktivt försvar
EncryptHubs kontinuerliga anpassning och utveckling framhäver det akuta behovet för organisationer att anta säkerhetsstrategier i flera lager. Konstant övervakning, proaktiva försvarsåtgärder och utbildning i användarmedvetenhet är avgörande för att mildra riskerna med detta växande cyberhot.
