В феврале 2024 года на арену киберпреступности вышла новая платформа RansomHub, предоставляющая услуги вымогательского ПО по модели RaaS. Платформа заражает системы Windows, Linux и ESXi, используя вредоносное ПО на основе Go и C++. Новый отчет Insikt Group описывает ключевые аспекты деятельности RansomHub, ее связи с ранее известным ПО Knight и меры по защите от угрозы
Группировка быстро набрала обороты и стала четвертой по числу публично заявленных атак за последние 3 месяца. А привлекательная комиссия в 90% привлекает опытных аффилиатов, что приводит к резкому скачку числа заражений.
С момента своего появления RansomHub нанес вред 45 жертвам в 18 странах, преимущественно в ИТ-секторе. Такой факт указывает на стратегию “охоты на крупную дичь”, когда злоумышленники выбирают такие компании, которые с большей вероятностью выплатят значительные суммы выкупа из-за серьезных финансовых последствий простоя.
Особо примечательна тактика использования RansomHub неправильно настроенных экземпляров Amazon S3 для доступа к резервным копиям не только основного объекта атаки, но и других клиентов того же поставщика резервных копий. В таких атаках киберпреступники шантажируют поставщиков решений по резервному копированию, угрожая утечкой данных клиентов.
Insikt Group выявила пересечения в коде между RansomHub и другими группами вымогателей, такими как ALPHV (BlackCat) и Knight Ransomware. Сходства могут свидетельствовать о возможных связях или общих ресурсах среди групп.
Напомним, что деятельность Knight в качестве RaaS-модели была прекращена в конце февраля 2024 года, когда исходный код Knight был выставлен на продажу. Это дало основание полагать, что вирус мог перейти в руки нового владельца, который решил обновить и перезапустить его под брендом RansomHub.
Вирус RansomHub, первая жертва которого была зафиксирована в том же месяце, уже связан с серией недавних атак, среди которых Change Healthcare, Christie’s и Frontier Communications. Примечательно, что новая версия вируса не атакует объекты в странах СНГ, на Кубе, в Северной Корее и Китае.
Версии шифровальщика RansomHub для Linux и Windows написаны на Go, а новая версия ESXi – на C+. Отметим, что создание шифратора ESXi позволяет злоумышленникам увеличить базу потенциальных целей – группа может ориентироваться на растущее число предприятий, использующих виртуализированные среды.
Insikt Group обнаружила, что версия RansomHub для ESXi создает файл /tmp/app.pid, чтобы предотвратить запуск одновременно нескольких экземпляров. Специалисты также нашли уязвимость в коде: если файл содержит “-1”, вредоносное ПО попытается завершить несуществующий процесс, что приведет к бесконечному циклу и остановит шифрование данных.
Для защиты от RansomHub Insikt Group разработала правила YARA и Sigma, которые могут использоваться для обнаружения присутствия или выполнения файлов вымогательского ПО в затронутой среде. Правила охватывают версии для ESXi, Linux и Windows. Аналитики могут искать в логах командной строки команды, используемые RansomHub для остановки виртуальных машин, удаления теневых копий и остановки службы Internet Information Service (IIS).