EncryptHub разоряет бизнес: всего один звонок от мошенников парализует работу целой компании

Киберпреступная группировка EncryptHub, ориентированная на финансовую выгоду, активно проводит фишинговые кампании для распространения инфостилеров и программ-вымогателей, а также работает над новым инструментом EncryptRAT.

По данным исследователей Outpost24, злоумышленники используют поддельные версии популярных приложений, а также прибегают к сторонним сервисам распространения вредоносного ПО по модели Pay-Per-Install (PPI). Группировка также замечена в эксплуатации уязвимостей в широко используемых продуктах безопасности, несмотря на неоднократные ошибки в обеспечении собственной операционной безопасности.

EncryptHub, отслеживаемая также как LARVA-208 специалистами PRODAFT, начала свою активность в конце июня 2024 года. В арсенале группировки — различные тактики социальной инженерии, включая фишинговые атаки через SMS (смишинг) и телефонные звонки (вишинг). Цель таких атак — убедить жертв установить программное обеспечение удалённого администрирования и мониторинга.

По информации PRODAFT, группировка связана с операторами программ-вымогателей RansomHub и Blacksuit. В ходе атак хакеры создают фальшивые веб-страницы, на которых запрашивают учётные данные VPN под видом устранения технических проблем. Жертву могут уговорить ввести данные либо через телефонный звонок от «технической поддержки», либо через SMS с поддельной ссылкой на Microsoft Teams.

EncryptHub использует «пуленепробиваемые» хостинги (BPH), такие как Yalishand, для размещения фишинговых сайтов. После получения доступа к системе злоумышленники запускают скрипты PowerShell, которые загружают вредоносное ПО, включая инфостилеры Fickle, StealC и Rhadamanthys. Основной целью атак является развёртывание программ-вымогателей и последующее вымогательство денежных средств.

Ещё один распространённый метод взлома — использование троянизированных версий легитимных программ, таких как QQ Talk, WeChat, DingTalk, Google Meet, Microsoft Visual Studio 2022 и Palo Alto Global Protect. После установки таких приложений начинается многоступенчатый процесс загрузки вредоносного ПО, включая Kematian Stealer, предназначенный для кражи cookie-файлов.

С начала 2025 года одним из ключевых методов распространения EncryptHub стал сервис LabInstalls, предоставляющий услуги массового распространения вредоносного ПО. Стоимость начинается от $10 за 100 установок и достигает $450 за 10 000 установок. Доказательства того, что EncryptHub активно пользуется этой платформой, были обнаружены на подпольном форуме XSS, где группа оставила положительный отзыв с подтверждающим скриншотом.

Параллельно с распространением вредоносного ПО EncryptHub занимается разработкой EncryptRAT — панели управления для контроля заражённых устройств, выполнения удалённых команд и кражи данных. Судя по всему, в будущем преступники собираются коммерциализировать этот инструмент.

По мнению специалистов Outpost24, изменения в тактике EncryptHub подтверждают эволюцию методов атак и требуют от компаний постоянного мониторинга угроз и многоуровневой защиты для минимизации рисков.