RansomHub ransomware összegfoglaló
A Szövetségi Nyomozó Iroda (FBI), a Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség (CISA), a több államot érintő információmegosztó és elemző központ (MS-ISAC), valamint az Egészségügyi és Humán Szolgáltatások Minisztériuma (HHS) egy a közös összefoglalót tettek közzé a RansomHub ransomware ismert IOC-k és TTP-k megosztása érdekében. Ezeket az FBI fenyegetéselhárítási tevékenységei és harmadik féltől származó jelentések alapján azonosították, még 2024 augusztusában. A RansomHub egy ransomware-as-a-service variáns – korábban Cyclops és Knight néven ismert -, amely hatékony és sikeres szolgáltatási modellé vált (a közelmúltban más prominens variánsok, például a LockBit és az ALPHV magas szintű társult tagjait vonzotta).
A RansomHub 2024. februári indulása óta legalább 210 áldozat adatait titkosította és távolította el, akik a víz- és szennyvíz-, az informatikai, a kormányzati szolgáltatások és létesítmények, az egészségügyi és közegészségügyi, a sürgősségi szolgáltatások, az élelmiszer- és mezőgazdasági, a pénzügyi szolgáltatások, a kereskedelmi létesítmények, a kritikus gyártási, a közlekedési és a kommunikációs kritikus infrastruktúra szektorát képviselik. A társszervezetek kettős zsarolási modellt alkalmaznak: a rendszerek titkosításával és az adatok kiszivárogtatásával zsarolják az áldozatokat. Meg kell jegyezni, hogy az adatok kiszivárogtatásának módszerei a hálózat kompromittálását végző társvállalaton múlnak. A titkosítás során elejtett váltságdíjkérő üzenet általában nem tartalmaz kezdeti váltságdíjkövetelést vagy fizetési utasításokat. Ehelyett az üzenet egy ügyfél-azonosítót ad az áldozatoknak, és arra utasítja őket, hogy egy egyedi .onion URL-címen keresztül (amely a Tor böngészőn keresztül érhető el) lépjenek kapcsolatba a ransomware csoporttal. A váltságdíj-felhívás általában három és 90 nap közötti időt ad az áldozatoknak a váltságdíj kifizetésére, mielőtt a csoport közzéteszi az adatokat a RansomHub Tor adatszivárgási webhelyen.
