С момента своего появления группировка атаковала свыше двухсот жертв.
Хакерская группа RansomHub, связанная с распространением программ-вымогателей, с момента своего появления в феврале 2024 года зашифровала и похитила данные у более чем 210 жертв, сообщают власти США. Среди пострадавших организации из различных секторов, включая водоснабжение, информационные технологии, здравоохранение, государственные учреждения, экстренные службы, сельское хозяйство и финансовые учреждения.
RansomHub работает по модели «вымогательство как услуга» (RaaS) и ранее известна под псевдонимами Cyclops и Knight. Эта группа быстро привлекла внимание высокопрофильных партнёров, в том числе тех, кто ранее сотрудничал с такими известными группами, как LockBit и ALPHV (также известная как BlackCat).
По данным компании ZeroFox, активность RansomHub стремительно растёт. Если в первом квартале 2024 года на долю группы приходилось лишь 2% от всех атак, во втором квартале — 5,1%, то уже в третьем квартале этот показатель достиг 14,2%. Примечательно, что 34% атак этой группы направлены на европейские организации, что значительно выше среднего показателя по всему ландшафту угроз.
Группа RansomHub использует модель двойного вымогательства, когда данные сначала похищаются, а затем системы жертв шифруются. Жертвам предлагается связаться с операторами вредоноса через уникальный onion-адрес для обсуждения условий выкупа. Если компании отказываются платить, их информация будет опубликована на сайте утечек данных.
Хакеры получают доступ к системам жертв через уязвимости в известных программных продуктах, таких как Apache ActiveMQ, Atlassian Confluence, Citrix ADC и другие. После проникновения злоумышленники проводят разведку и сканирование сети с помощью программ, таких как AngryIPScanner и Nmap, и отключают антивирусное программное обеспечение для скрытного проникновения.
Кроме того, хакеры создают учётные записи пользователей для сохранения доступа к системе, а также используют различные инструменты для получения учётных данных и повышения привилегий. Для дальнейшего перемещения по сети применяются такие методы, как использование удалённого рабочего стола (RDP), PsExec, AnyDesk и других широко распространённых средств управления.
Особенность атак RansomHub заключается в использовании прерывистого шифрования, что позволяет существенно ускорить процесс. В то же время, похищаются данные с помощью таких инструментов, как PuTTY, Amazon AWS S3, WinSCP и другие.
На фоне эволюции вымогательских атак исследователи отмечают переход хакеров к более сложным многоуровневым схемам вымогательства. Такие схемы включают в себя не только шифрование и похищение данных, но и угрозы проведения DDoS-атак и давления на деловых партнёров жертв для усиления принуждения к выплате выкупа.
Модель «вымогательства как услуга» становится всё более прибыльной, способствуя появлению новых вариантов программ-вымогателей. Она привлекает даже государственные хакерские группы, такие как иранские, которые сотрудничают с известными группами, получая долю от незаконных доходов.
Одно найти легче, чем другое. Спойлер: это не темная материя