RansomHub elemzése
A Group-IB elemzése áttekintést nyújt a RansomHub-ről, annak működéséről, mint Ransomware-as-a-Service (RaaS) , beleértve a zsarolási taktikáit, a partnerek toborzási stratégiáit és a partnerek jellemzőit. A RansomHub kiesését övező bizonytalanság ellenére a blog nemcsak magáról a csoportról nyújt információkat, hanem betekintést nyújt a csoport adminisztrátora által alkalmazott stratégiákba is, amelyeket végső soron bármelyik ransomware üzemeltető alkalmazhat.
A 2024 februári megjelenése óta a RansomHubbal együttműködő bűnözők jelentős számú támadásért vállalták a felelősséget, amelyek zavarokat és anyagi károkat okoztak az érintett vállalatoknak. A Knight (korábban Cyclops) webes alkalmazás és zsarolóvírus forráskódjának esetleges felvásárlását követően a RansomHub gyorsan felemelkedett a zsarolóvírus szcénában, köszönhetően a többplatformos titkosító dinamikus funkcióinak és a pénzügyileg ösztönző affiliate modelljének. Ez a megközelítés bevonzotta az olyan csoportok korábbi tagjait, mint a Lockbit és az ALPHV, akikre akkoriban egyre nagyobb nyomást gyakoroltak a bűnüldöző szervek.
A RansomHub alacsony, 10%-os díjazáson alapuló (a ransomware iparág 20-30%-os arányánál jóval alacsonyabb) kompenzációs modell, valamint a fokozódó bűnüldözési akciók okozta stressz a tapasztalt kiberbűnözőket, köztük a Scattered Spider és az Evil Corp csoportok tagjait is arra csábította, hogy együttműködjenek a RansomHub-al, javítva annak képességeit, a támadások hatékonyságát és következésképpen a csoport bevételeit.
A RansomHub különböző operációs rendszereken és architektúrákon működik, többek között x86, x64 és ARM, valamint Windows, ESXi, Linux és FreeBSD operációs rendszereken. Bár a legtöbb saját fejlesztésű és kiszivárgott-builder alapú ransomware általában a Windows és az ESXi hipervizorra összpontosít, a Group-IB megfigyelt néhány olyan ransomware csoportot, mint az Apos, RTM, Lynx, Qilin és Hunters International, amelyek ARM, MIPS, PowerPC, RISC és más architektúrákat, valamint FreeBSD operációs rendszert támogató ransomware-eket kínálnak.
2024 júniustól kezdve a RansomHub affiliate-ek egy saját fejlesztésű killer-t kaptak az AV és EDR biztonsági megoldások megkerülésére. A csoport adminja szerint azonban a biztonsági megoldások magas észlelési aránya miatt már nem biztosítanak ilyen eszközt a partnerek számára.
Az affiliate panel, valamint a RAMP fórumon található információk alapján a FÁK (Független Államok Közössége), Kuba, Észak-Korea és Kína vállalatainak támadása tilos. Technikai szempontból a RansomHub üzemeltetője szerint a zsarolóprogram csak a rendszer nyelvét ellenőrzi. Ezért az affiliate szereplők feladata, hogy ellenőrizzék, hol találhatók a célpontok. Az affiliate panel News részében a RansomHub üzemeltetői egy iránymutatást adnak a bűnözőknek az áldozatok zsarolására, amelyben a váltságdíj árát a vállalat bevételei alapján számítják ki, hogy növeljék a váltságdíjfizetés valószínűségét.
A titkosítási folyamat végén a ransomware a megfertőzött hosztok minden egyes titkosított könyvtárába egy ransom note-ot dob le, ami utasításokat és a hitelesítő adatokat tartalmazza a zsarolóval való kapcsolatfelvételt biztosító élő chathez.