EncryptRAT
Der finanziell motivierte Bedrohungsakteur EncryptHub hat aktiv fortgeschrittene Phishing-Kampagnen orchestriert, um Informationsdiebe und Ransomware einzusetzen. Darüber hinaus arbeitet die Gruppe an einem neuen Bedrohungstool namens EncryptRAT, was auf ihre kontinuierliche Weiterentwicklung in der Cyberkriminalitätslandschaft hinweist.
Inhaltsverzeichnis
Zielen auf beliebte Anwendungen und Verwenden von PPI-Diensten
Es wurde beobachtet, dass EncryptHub trojanisierte Versionen weit verbreiteter Anwendungen verbreitete, um die Systeme der Opfer zu infiltrieren. Die Gruppe nutzt auch Pay-Per-Install (PPI)-Dienste von Drittanbietern wie LabInstalls, um die Reichweite ihrer Malware-Kampagnen zu vergrößern.
Betriebssicherheitsfehler und Exploit-Ausnutzung
Cybersicherheitsforscher haben EncryptHub als eine Hackergruppe identifiziert, die häufig operative Sicherheitsfehler begeht. Trotz dieser Fehler integriert die Gruppe erfolgreich Exploits für weithin bekannte Sicherheitslücken in ihre Angriffe und stellt damit eine ständige Bedrohung dar.
Neue Bedrohung: LARVA-208 und Multi-Channel-Angriffe
EncryptHub wird auch von einem Schweizer Cybersicherheitsunternehmen als LARVA-208 verfolgt und soll im Juni 2024 aktiv geworden sein. Die Gruppe verwendet verschiedene Angriffsvektoren, darunter SMS-Phishing (Smishing) und Voice-Phishing (Vishing), um Opfer dazu zu verleiten, Remote Monitoring and Management (RMM)-Software zu installieren.
Verbindungen zu großen Ransomware-Gruppen
EncryptHub hat enge Verbindungen zu den RansomHub- und Blacksuit-Ransomware- Gruppen. In den letzten neun Monaten hat es mithilfe fortschrittlicher Social-Engineering-Techniken mehr als 618 hochwertige Ziele in verschiedenen Branchen kompromittiert. Eine gängige Taktik besteht darin, Phishing-Websites zu nutzen, die darauf ausgelegt sind, VPN-Anmeldeinformationen zu stehlen, gefolgt von einem Anruf, bei dem sich der IT-Support ausgibt, um die Opfer dazu zu bringen, ihre Daten einzugeben. In Fällen, in denen keine Anrufe getätigt werden, dienen gefälschte Microsoft Teams-Links als Köder.
Bulletproof Hosting und Malware-Bereitstellung
Um nicht entdeckt zu werden, hostet EncryptHub Phishing-Sites bei kugelsicheren Hosting-Anbietern wie Yalishand. Sobald der Angreifer Zugriff erlangt hat, führt er PowerShell-Skripte aus, um Stealer-Malware wie Fickle , StealC und Rhadamanthys zu installieren. In den meisten Fällen besteht das ultimative Ziel darin, Ransomware zu installieren und eine Lösegeldzahlung zu erpressen.
Trojanisierte Anwendungen als wichtiger Einstiegspunkt
Eine weitere häufig verwendete Methode besteht darin, Malware als legitime Software zu tarnen. EncryptHub hat gefälschte Versionen von Anwendungen wie QQ Talk, QQ Installer, WeChat, DingTalk, VooV Meeting, Google Meet, Microsoft Visual Studio 2022 und Palo Alto Global Protect verbreitet. Nach der Installation initiieren diese gefälschten Anwendungen einen mehrstufigen Prozess und liefern schließlich unsichere Payloads wie den Kematian Stealer, um Browser-Cookies und andere vertrauliche Daten zu sammeln.
LabInstalls: Ein entscheidendes Element bei der Verbreitung von Malware
Seit mindestens dem 2. Januar 2025 verlässt sich EncryptHub auf LabInstalls, einen PPI-Dienst, der gegen Gebühr Masseninstallationen von Malware anbietet. Die Preise reichen von 10 Dollar für 100 Ladungen bis zu 450 Dollar für 10.000 Ladungen. EncryptHub bestätigte die Nutzung des Dienstes durch positives Feedback in einem russischsprachigen Untergrundforum und teilte sogar einen Screenshot als Beweis. Dies deutet darauf hin, dass der Akteur die Verteilung auslagert, um seine Aktivitäten effizienter zu skalieren.
EncryptRAT: Die nächste Evolutionsstufe der Cyberkriminalität
EncryptHub entwickelt derzeit EncryptRAT, ein Command-and-Control-Panel (C2), das infizierte Systeme verwalten, Remote-Befehle ausführen und auf gestohlene Daten zugreifen soll. Einige Hinweise deuten darauf hin, dass die Gruppe plant, dieses Tool zu kommerzialisieren, wodurch die Bedrohung für Unternehmen und Privatpersonen möglicherweise zunimmt.
Die Notwendigkeit von Wachsamkeit und proaktiver Verteidigung
Die kontinuierliche Anpassung und Weiterentwicklung von EncryptHub unterstreicht die dringende Notwendigkeit für Unternehmen, mehrschichtige Sicherheitsstrategien zu implementieren. Ständige Überwachung, proaktive Abwehrmaßnahmen und Schulungen zur Sensibilisierung der Benutzer sind unerlässlich, um die Risiken dieser wachsenden Cyberbedrohung einzudämmen.
