EncryptRAT
Ang financially motivated threat actor na kilala bilang EncryptHub ay aktibong nag-orkestra ng mga advanced na kampanya sa phishing upang mag-deploy ng mga nagnanakaw ng impormasyon at ransomware. Bilang karagdagan, ang grupo ay gumagawa ng isang bagong pagbabanta na tool na tinatawag na EncryptRAT, na nagpapahiwatig ng patuloy na ebolusyon nito sa cybercrime landscape.
Talaan ng mga Nilalaman
Pag-target sa Mga Sikat na Application at Paggamit ng Mga Serbisyo ng PPI
Naobserbahan ang EncryptHub na namamahagi ng mga trojanized na bersyon ng malawakang ginagamit na mga application upang makalusot sa mga system ng mga biktima. Ginagamit din ng grupo ang mga serbisyo ng third-party na Pay-Per-Install (PPI), gaya ng LabInstalls, upang palawakin ang abot ng kanilang mga malware campaign.
Mga Pagkakamali sa Seguridad sa Operasyon at Paggamit ng Pagsasamantala
Natukoy ng mga mananaliksik ng Cybersecurity ang EncryptHub bilang isang pangkat ng pag-hack na madalas na gumagawa ng mga error sa seguridad sa pagpapatakbo. Sa kabila ng mga pagkakamaling ito, matagumpay na isinasama ng grupo ang mga pagsasamantala para sa malawak na kilalang mga kahinaan sa seguridad sa mga pag-atake nito, na ginagawa itong patuloy na banta.
Umuusbong na Banta: LARVA-208 at Multi-Channel Attacks
Sinusubaybayan din ng isang Swiss cybersecurity firm bilang LARVA-208, ang EncryptHub ay pinaniniwalaang naging aktibo noong Hunyo 2024. Gumagamit ang grupo ng iba't ibang attack vector, kabilang ang SMS phishing (smishing) at voice phishing (vishing), upang linlangin ang mga biktima sa pag-install ng Remote Monitoring and Management (RMM) software.
Mga Kaakibat sa Pangunahing Ransomware Groups
Ang EncryptHub ay may matibay na kaugnayan sa mga pangkat ng RansomHub at Blacksuit Ransomware . Sa nakalipas na siyam na buwan, nakompromiso nito ang higit sa 618 na matataas na halaga na target sa maraming industriya gamit ang mga advanced na diskarte sa social engineering. Ang isang karaniwang taktika ay kinabibilangan ng mga website ng phishing na idinisenyo upang magnakaw ng mga kredensyal ng VPN, na sinusundan ng isang tawag na nagpapanggap na suporta sa IT upang hikayatin ang mga biktima na ipasok ang kanilang mga detalye. Sa mga kaso kung saan hindi ginagamit ang mga tawag, nagsisilbing pain ang mga pekeng link ng Microsoft Teams.
Bulletproof Hosting at Malware Deployment
Para makaiwas sa pag-detect, nagho-host ang EncryptHub ng mga phishing site sa mga bulletproof na hosting provider tulad ng Yalishand. Kapag nakakuha na ng access, ipapatupad ng attacker ang mga PowerShell script para mag-install ng stealer malware gaya ng Fickle , StealC , at Rhadamanthys . Sa karamihan ng mga kaso, ang pinakalayunin ay mag-deploy ng ransomware at mangikil ng bayad sa ransom.
Mga Trojanized na Application bilang Key Entry Point
Ang isa pang karaniwang ginagamit na paraan ay nagsasangkot ng disguising malware bilang lehitimong software. Ang EncryptHub ay namamahagi ng mga pekeng bersyon ng mga application tulad ng QQ Talk, QQ Installer, WeChat, DingTalk, VooV Meeting, Google Meet, Microsoft Visual Studio 2022 at ang Palo Alto Global Protect. Kapag na-install na, ang mga pekeng application na ito ay magpapasimula ng maraming yugto na proseso, sa kalaunan ay naghahatid ng mga hindi ligtas na payload tulad ng Kematian Stealer upang mangolekta ng cookies ng browser at iba pang sensitibong data.
LabInstalls: Isang Mahalagang Elemento sa Pamamahagi ng Malware
Mula noong hindi bababa sa Enero 2, 2025, umasa ang EncryptHub sa LabInstalls, isang serbisyo ng PPI na nag-aalok ng maramihang pag-install ng malware nang may bayad. Ang mga presyo ay mula sa $10 para sa 100 load hanggang $450 para sa 10,000 load. Kinumpirma ng EncryptHub ang paggamit nito sa serbisyo sa pamamagitan ng pag-iiwan ng positibong feedback sa isang underground na forum na nagsasalita ng Russian, kahit na nagbabahagi ng screenshot bilang ebidensya. Iminumungkahi nito na ang aktor ay nag-outsourcing ng distribusyon upang mas mahusay na sukatin ang mga operasyon nito.
EncryptRAT: Ang Susunod na Ebolusyon sa Cybercrime
Ang EncryptHub ay aktibong bumubuo ng EncryptRAT, isang Command-and-Control (C2) panel na idinisenyo upang pamahalaan ang mga nahawaang system, magsagawa ng mga malayuang command at mag-access ng ninakaw na data. Ang ilang ebidensiya ay nagmumungkahi na ang grupo ay maaaring nagpaplano na i-komersyal ang tool na ito, na posibleng magpapataas ng banta nito sa mga negosyo at indibidwal.
Ang Pangangailangan para sa Pagpupuyat at Proactive Defense
Itinatampok ng tuloy-tuloy na adaptasyon at ebolusyon ng EncryptHub ang agarang pangangailangan para sa mga organisasyon na magpatibay ng mga multi-layered na diskarte sa seguridad. Ang patuloy na pagsubaybay, mga proactive na hakbang sa pagtatanggol, at pagsasanay sa kamalayan ng user ay mahalaga sa pagpapagaan ng mga panganib na dulot nitong lumalaking banta sa cyber.
