600 жертв за год: RansomHub – новый лидер в сфере вымогательских атак

В 2024 году на киберпреступной сцене стремительно появился новый игрок — группировка RansomHub, которая успела атаковать уже более 600 организаций по всему миру. По данным исследования Group-IB, группа RansomHub заполнила вымогательскую нишу после недавних нарушений в деятельности ALPHV и LockBit .

Эксперты отмечают, что RansomHub действует в формате ransomware-as-a-service (RaaS), активно привлекая партнёров на подпольных форумах, таких как RAMP. Основной стратегией стало переманивание хакеров , ранее работавших на другие группировки, что позволило RansomHub быстро нарастить масштабы атак.

Анализ кода вредоноса показал, что группировка, вероятно, приобрела своё программное обеспечение у Knight (Cyclops), другой известной киберпреступной организации. Использование готовых решений ускорило развёртывание атак, а мультиплатформенность программы позволяет шифровать системы на Windows, ESXi, Linux и FreeBSD, расширяя список потенциальных жертв.

RansomHub отличается высокой степенью организованности. Группировка использует как проверенные техники взлома — атаки на VPN-сервисы и подбор паролей, так и сложные методы, включая эксплуатацию уязвимостей нулевого дня. В арсенале атакующих — инструменты вроде PCHunter, позволяющие обходить средства защиты.

Тактика атак включает тщательное исследование сети жертвы и захват наиболее ценных данных. Операторы проникают в инфраструктуру, получают контроль над критическими узлами — файловыми хранилищами, резервными копиями, серверами — и переносят конфиденциальные сведения на удалённые серверы. Для передачи информации преступники используют Filezilla, а затем запускают процесс шифрования на скомпрометированных хостах.

После завершения атаки RansomHub шантажирует жертву, требуя выкуп за расшифровку и непубликацию данных. Программа-вымогатель способна останавливать виртуальные машины, уничтожать теневые копии файлов и зачищать журналы событий, затрудняя расследование инцидента .

Одной из наиболее разрушительных атак RansomHub стала операция, проведённая всего за 14 часов. Преступники использовали уязвимость в межсетевом экране Palo Alto ( CVE-2024-3400 ) для первичного доступа, затем применили брутфорс учётных данных от VPN-клиента. После этого атакующие эксплуатировали старые бреши в Windows ( CVE-2021-42278 и CVE-2020-1472 ), получая полный контроль над сетью.

Эксперты подчёркивают, что столь эффективная деятельность RansomHub стала возможной из-за несвоевременного обновления операционных систем. Если та или иная компания становится жертвой атаки через уязвимость, закрытую несколько лет назад, то виновато в этом исключительно её собственное халатное отношение к кибербезопасности. В данном случае глупо перекладывать ответственность на поставщиков программного обеспечения.

Растущая активность RansomHub свидетельствует о продолжающейся эволюции киберугроз. Организации должны усиливать свою защиту, регулярно обновлять программное обеспечение и минимизировать поверхность атаки, чтобы не попасть в список жертв RansomHub и прочих вымогательских группировок.