RansomHub ransomware fejlődése (1. rész)
A kiberbiztonsági fenyegetések terén a támadók és a védők között folyamatos verseny zajlik. Miközben a szervezetek megerősítik védelmüket, a támadók továbbfejlesztik taktikáikat, technikáikat és eljárásaikat (TTP), hogy kihasználják az elektronikus információs rendszerek sérülékenységeit. A kiberfenyegetések közül a ransomware műveletek egyre kifinomultabbá és kiemelkedőbbé váltak az elmőlt időszakban. A kezdetekben a ransomwarek viszonylag kis összegű követelésekkel magánszemélyeket céloztak meg. A digitálizáció és a rendszerek sérülékenységeinek növekedésével azonban a támadók egyre nagyobb célpontok felé mozdultak el, beleértve az egészségügyi, pénzügyi, kritikus infrastruktúra- és kormányzati szektorokat. A Ransomware-as-a-Service (RaaS) platformok megjelenése tovább csökkentette az akadályokat a feltörekvő kiberbűnözők számára, mivel lehetővé tette számukra a fejlett eszközökhöz való hozzáférést az azzal megszerzett nyereség egy részéért cserébe.
A ransomware-ek növekedésének egyik fő mozgatórugója az alkalmazkodóképességük. A modern csoportok kihasználják a sérülékenységeket, fejlett felderítési technikákat és automatizálást alkalmaznak a műveletek skálázásához. A Group-IB egy három részes blogsorozatot készített, aminek első részében a 2024 elején megjelent RansomHubot vizsgálják meg, és annak fejlődést.
A RansomHub 2024. február elején jelent meg Ransomware-as-a-Service-ként (RaaS), egy időben az ALPHV működésének bezárásával. A Group-IB Threat Intelligence és DFIR csapatai szerint a (látszólag) megszűnt LockBit és ALPHV csoportokból toborzott tagokat. A csoport aktívan keresett új tagokat közvetlen üzenetekben és olyan underground fórumokon közzétett bejegyzésekben, mint a RAMP, az XSS és az Exploit.in. Műveleteinek felgyorsítása érdekében a RansomHub megszerezte a forráskódot és a webes alkalmazást, amelyet a RAMP fórumon a Knight (korábban Cyclops) ransomware csoport értékesített (állítólag 2024. február 18-án kínálták eladásra) a RAMP-on. – állítja a Group-IB.
A bizonyítékok arra utalnak, hogy a RansomHub megvásárolta és átnevezte a Knight erőforrásait. A RansomHub és a Knight által használt affiliate panel közötti hasonlóságok, az ransomware funkciók átfedései és a közös kód alátámasztják ezt az elméletet. Kezdetben úgy tűnt, hogy az “új” ransomware nem kínál újszerű funkciókat más RaaS csoportokhoz képest. Azonban 2024. július 18-án a RansomHub üzemeltetője, “koley” a RAMP fórumon a ransomware egy új törzsét hirdette meg, amely képes volt távolról titkosítani az adatokat SFTP protokollon keresztül.
A RansomHub eddig több mint 600 szervezetet vett célba világszerte, olyan szektorokban, mint az egészségügy, a pénzügy, a kormányzat és a kritikus infrastruktúra, amivel 2024-ben a legaktívabb ransomware csoport volt.
