RansomHub Erpressersoftware

Cybersicherheitsanalysten haben eine neue Ransomware-Variante namens RansomHub entdeckt. Berichten zufolge behaupten die dahinter stehenden Cyberkriminellen, dass sie keine Ziele in den Ländern der Gemeinschaft Unabhängiger Staaten (GUS), Kuba, Nordkorea und China angreifen. Trotz dieser Behauptung haben sie innerhalb kurzer Zeit mehrere namhafte Organisationen infiziert. Zu ihren Opfern zählen Change Healthcare, Christie's und Frontier Communications. Forscher heben insbesondere hervor, dass RansomHub eine erhebliche Ähnlichkeit mit Knight Ransomware aufweist, einer Iteration der zuvor identifizierten Ransomware namens Cyclops .

Der Knight-Ransomware-Code wurde allen Cyberkriminellen zum Verkauf angeboten

Die Knight Ransomware, auch bekannt als Cyclops 2.0, tauchte im Mai 2023 auf und nutzte doppelte Erpressungstechniken, um die Daten der Opfer zu stehlen und zu verschlüsseln, um Profit zu machen. Sie kann auf verschiedenen Plattformen ausgeführt werden, darunter Windows, Linux, macOS, ESXi und Android.

Angriffe mit dieser Ransomware, die über das Cybercrime-Forum RAMP verkauft wurde, stützten sich häufig auf Phishing- und Spear-Phishing-Taktiken und verwendeten betrügerische Anhänge zur Verbreitung. Der Ransomware-as-a-Service (RaaS)-Betrieb wurde Ende Februar 2024 eingestellt und der Quellcode zum Verkauf angeboten. Dieser Schritt weckte die Möglichkeit einer Übertragung an einen neuen Akteur, der die Software möglicherweise aktualisiert und unter dem Namen RansomHub neu gestartet hat.

Erhebliche Überschneidungen zwischen RansomHub und der Knight Ransomware

Beide Ransomware-Stämme sind in Go geschrieben und die meisten Versionen jeder Familie sind mit Gobfuscate verschleiert. Der Code der beiden ist sehr ähnlich, was es schwierig macht, sie zu unterscheiden.

Beide Ransomware-Familien teilen sich identische Hilfemenüs auf der Befehlszeilenschnittstelle. RansomHub führt jedoch eine neue „Sleep“-Option ein, die es ermöglicht, für einen bestimmten Zeitraum (in Minuten) inaktiv zu bleiben, bevor es ausgeführt wird. Ähnliche Sleep-Befehle wurden bei anderen Bedrohungen wie Chaos / Yashma und der Trigona Ransomware beobachtet.

Die Ähnlichkeiten zwischen Knight und RansomHub erstrecken sich auch auf die zur Verschlüsselung von Zeichenfolgen verwendeten Verschleierungstechniken, den Inhalt der nach der Dateiverschlüsselung hinterlassenen Lösegeldforderungen und ihre Fähigkeit, einen Host vor Beginn der Verschlüsselung im abgesicherten Modus neu zu starten.

Der Hauptunterschied besteht in der Menge der über cmd.exe ausgeführten Befehle, obwohl ihre Reihenfolge und Ausführung im Verhältnis zu anderen Vorgängen gleich bleiben.

Die RansomHub-Ransomware wird möglicherweise von erfahrenen Cyberkriminellen betrieben

Es wurde beobachtet, dass RansomHub-Angriffe bekannte Sicherheitslücken (wie ZeroLogon ) ausnutzen, um sich ersten Zugriff zu verschaffen. Sie setzen Remote-Desktop-Software wie Atera und Splashtop ab, bevor sie Ransomware einsetzen. Allein im April 2024 wurden fast 30 bestätigte Angriffe mit dieser Ransomware-Variante in Verbindung gebracht.

Die Forscher vermuten, dass RansomHub aktiv nach Partnern sucht, die von den jüngsten Schließungen oder Exit-Taktiken betroffen sind, wie etwa LockBit und BlackCat (auch bekannt als ALPHV und Noberus). Es wird vermutet, dass ein ehemaliger Noberus-Partner namens Notchy jetzt mit RansomHub zusammenarbeitet. Darüber hinaus wurden bei einem kürzlichen RansomHub-Angriff Tools verwendet, die zuvor mit einem anderen Noberus-Partner, Scattered Spider, in Verbindung gebracht wurden.

Die schnelle Ausweitung der Aktivitäten von RansomHub lässt darauf schließen, dass die Gruppe aus erfahrenen Agenten mit Erfahrungen und Verbindungen in der Cyber-Unterwelt besteht.

Ransomware-Angriffe nehmen wieder zu

Die Entwicklung von RansomHub erfolgt im Zuge eines Anstiegs der Ransomware-Aktivitäten im Jahr 2023, nachdem sie 2022 leicht zurückgegangen waren. Interessanterweise handelt es sich bei etwa einem Drittel der 50 im Laufe des Jahres entdeckten neuen Ransomware-Familien um Variationen bereits identifizierter Familien. Dieser Trend deutet auf eine zunehmende Verbreitung von Code-Recycling, Überschneidungen zwischen Akteuren und Rebranding-Strategien hin.

Diese Angriffe zeichnen sich dadurch aus, dass sie handelsübliche und legitime Remote-Desktop-Tools verwenden, anstatt sich auf Cobalt Strike zu verlassen. Die zunehmende Nutzung solcher legitimen Tools deutet wahrscheinlich darauf hin, dass die Angreifer versuchen, Erkennungsmechanismen zu umgehen und ihre Operationen zu rationalisieren, wodurch die Notwendigkeit der Entwicklung und Wartung benutzerdefinierter Tools verringert wird.

Der Erpresserbrief, den die Opfer der RansomHub-Ransomware erhalten, lautet:

'Hello!

Visit our Blog:

Tor Browser Links:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion/

Links for normal browser:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion.ly/

>>> Your data is stolen and encrypted.

- If you don't pay the ransom, the data will be published on our TOR darknet sites. Keep in mind that once your data appears on our leak site, it could be bought by your competitors at any second, so don't hesitate for a long time. The sooner you pay the ransom, the sooner your company will be safe.

>>> If you have an external or cloud backup; what happens if you don’t agree with us?

- All countries have their own PDPL (Personal Data Protection Law) regulations. In the event that you do not agree with us, information pertaining to your companies and the data of your company’s customers will be published on the internet, and the respective country’s personal data usage authority will be informed. Moreover, confidential data related to your company will be shared with potential competitors through email and social media. You can be sure that you will incur damages far exceeding the amount we are requesting from you should you decide not to agree with us.

>>> Don't go to the police or the FBI for help and don't tell anyone that we attacked you.

- Seeking their help will only make the situation worse,They will try to prevent you from negotiating with us, because the negotiations will make them look incompetent,After the incident report is handed over to the government department, you will be fined ,The government uses your fine to reward them.And you will not get anything, and except you and your company, the rest of the people will forget what happened!!!!!

>>> How to contact with us?

- Install and run 'Tor Browser' from hxxps://www.torproject.org/download/
- Go to hxxp://h6tejafqdkdltp****************seslv6djgiukiii573xtid.onion/
- Log in using the Client ID: -

>>> WARNING

DO NOT MODIFY ENCRYPTED FILES YOURSELF.
DO NOT USE THIRD PARTY SOFTWARE TO RESTORE YOUR DATA.
YOU MAY DAMAGE YOUR FILES, IT WILL RESULT IN PERMANENT DATA LOSS.'