От 2% до 14%: RansomHub постепенно захватывает вымогательский рынок

Хакерская группа RansomHub, связанная с распространением программ-вымогателей, с момента своего появления в феврале 2024 года зашифровала и похитила данные у более чем 210 жертв, сообщают власти США. Среди пострадавших организации из различных секторов, включая водоснабжение, информационные технологии, здравоохранение, государственные учреждения, экстренные службы, сельское хозяйство и финансовые учреждения.

RansomHub работает по модели «вымогательство как услуга» (RaaS) и ранее известна под псевдонимами Cyclops и Knight. Эта группа быстро привлекла внимание высокопрофильных партнёров, в том числе тех, кто ранее сотрудничал с такими известными группами, как LockBit и ALPHV (также известная как BlackCat).

По данным компании ZeroFox, активность RansomHub стремительно растёт. Если в первом квартале 2024 года на долю группы приходилось лишь 2% от всех атак, во втором квартале — 5,1%, то уже в третьем квартале этот показатель достиг 14,2%. Примечательно, что 34% атак этой группы направлены на европейские организации, что значительно выше среднего показателя по всему ландшафту угроз.

Группа RansomHub использует модель двойного вымогательства, когда данные сначала похищаются, а затем системы жертв шифруются. Жертвам предлагается связаться с операторами вредоноса через уникальный onion-адрес для обсуждения условий выкупа. Если компании отказываются платить, их информация будет опубликована на сайте утечек данных.

Хакеры получают доступ к системам жертв через уязвимости в известных программных продуктах, таких как Apache ActiveMQ, Atlassian Confluence, Citrix ADC и другие. После проникновения злоумышленники проводят разведку и сканирование сети с помощью программ, таких как AngryIPScanner и Nmap, и отключают антивирусное программное обеспечение для скрытного проникновения.

Кроме того, хакеры создают учётные записи пользователей для сохранения доступа к системе, а также используют различные инструменты для получения учётных данных и повышения привилегий. Для дальнейшего перемещения по сети применяются такие методы, как использование удалённого рабочего стола (RDP), PsExec, AnyDesk и других широко распространённых средств управления.

Особенность атак RansomHub заключается в использовании прерывистого шифрования, что позволяет существенно ускорить процесс. В то же время, похищаются данные с помощью таких инструментов, как PuTTY, Amazon AWS S3, WinSCP и другие.

На фоне эволюции вымогательских атак исследователи отмечают переход хакеров к более сложным многоуровневым схемам вымогательства. Такие схемы включают в себя не только шифрование и похищение данных, но и угрозы проведения DDoS-атак и давления на деловых партнёров жертв для усиления принуждения к выплате выкупа.

Модель «вымогательства как услуга» становится всё более прибыльной, способствуя появлению новых вариантов программ-вымогателей. Она привлекает даже государственные хакерские группы, такие как иранские, которые сотрудничают с известными группами, получая долю от незаконных доходов.