ABD hükümeti, RansomHub fidye yazılımı grubuyla bağlantılı tehdit aktörlerinin, Şubat 2024’teki kuruluşundan bu yana en az 210 kurbana ait verileri şifreleyip sızdırdığını söyledi.
Mağdurlar arasında su ve atık su, bilgi teknolojisi, kamu hizmetleri ve tesisleri, sağlık ve halk sağlığı, acil servisler, gıda ve tarım, finansal hizmetler, ticari tesisler, kritik üretim, ulaştırma ve iletişimin kritik altyapısı gibi çeşitli sektörler yer alıyor.
“RansomHub, daha önce Cyclops ve Knight olarak bilinen, verimli ve başarılı bir hizmet modeli olarak kendini kanıtlamış bir fidye yazılımı hizmet türüdür (son zamanlarda LockBit ve ALPHV gibi diğer önemli varyantlardan yüksek profilli iştirakler çekmiştir),” hükümet kurumları söz konusu.
Cyclops ve Knight’ın soyundan gelen bir fidye yazılımı hizmeti (RaaS) çeşidi olan e-suç operasyonu, son dönemdeki kolluk kuvvetleri eylemleri dalgasının ardından LockBit ve ALPHV (diğer adıyla BlackCat) gibi diğer önemli çeşitlerden de yüksek profilli iştirakçilerin ilgisini çekti.
ZeroFox, geçen ayın sonlarında yayınladığı bir analizde, siber güvenlik sağlayıcısı tarafından gözlemlenen tüm fidye yazılımı faaliyetlerinin RansomHub’a oranının artış eğiliminde olduğunu, 2024’ün ilk çeyreğinde tüm saldırıların yaklaşık %2’sini, ikinci çeyrekte %5,1’ini ve üçüncü çeyrekte şu ana kadar %14,2’sini oluşturduğunu belirtti.
Şirket, “RansomHub saldırılarının yaklaşık %34’ü Avrupa’daki kuruluşları hedef alırken, tehdit ortamındaki %25’lik oran,” dedi. not edildi.
Grubun, kurbanları operatörlerle benzersiz bir .onion URL’si aracılığıyla iletişime geçmeye teşvik etmek için verileri sızdırmak ve sistemleri şifrelemek için çift gasp modelini kullandığı bilinmektedir. Fidye talebine boyun eğmeyi reddeden hedeflenen şirketlerin bilgileri, üç ila 90 gün arasında herhangi bir yerde veri sızıntısı sitesinde yayınlanır.
Apache ActiveMQ’daki bilinen güvenlik açıklarından yararlanılarak kurban ortamlarına ilk erişim kolaylaştırılır (CVE-2023-46604), Atlassian Confluence Veri Merkezi ve Sunucusu (CVE-2023-22515), Citrix ADC (CVE-2023-3519), F5 BÜYÜK-IP (CVE-2023-46747), Fortinet FortiOS (CVE-2023-27997), ve Fortinet FortiClientEMS (CVE-2023-48788) cihazlar ve diğerleri.
Bu adım, AngryIPScanner, Nmap ve diğer living-off-the-land (LotL) yöntemleri gibi programları kullanarak keşif ve ağ taraması yapan bağlı kuruluşlar tarafından takip edilir. RansomHub saldırıları ayrıca radar altında uçmak için özel araçlar kullanarak antivirüs yazılımını etkisiz hale getirmeyi içerir.
“İlk erişimin ardından RansomHub iştirakleri kalıcılık için kullanıcı hesapları oluşturdu, devre dışı bırakılan hesapları yeniden etkinleştirdi ve kimlik bilgilerini toplamak için Windows sistemlerinde Mimikatz’ı kullandı [T1003] ABD hükümetinin duyurusunda, “ve ayrıcalıkları SİSTEM’e yükseltin” ifadeleri yer alıyor.
“Daha sonra bağlı kuruluşlar, Uzak Masaüstü Protokolü (RDP), PsExec, AnyDesk, Connectwise, N-Able, Cobalt Strike, Metasploit veya yaygın olarak kullanılan diğer komuta ve kontrol (C2) yöntemleri dahil olmak üzere yöntemlerle ağ içinde yatay olarak hareket ettiler.”
RansomHub saldırılarının dikkat çeken bir diğer yönü ise süreci hızlandırmak için aralıklı şifreleme kullanılması ve veri sızdırma işlemlerinin PuTTY, Amazon AWS S3 kovaları, HTTP POST istekleri, WinSCP, Rclone, Cobalt Strike, Metasploit ve diğer yöntemler gibi araçlar kullanılarak gerçekleştirilebilmesidir.
Bu gelişme, Palo Alto Networks Unit 42’nin, Bling Libra olarak takip ettiği ShinyHunters fidye yazılımıyla ilişkili taktikleri açığa çıkarmasıyla birlikte geldi ve çalınan verileri satma veya yayınlama gibi geleneksel taktiklerinin aksine kurbanları gasp etmeye yöneldiğini vurguladı. Tehdit aktörü ilk kez gün yüzüne çıktı 2020 yılında.
Güvenlik araştırmacıları Margaret Zimmermann ve Chandni Vaya, “Grup, bir kuruluşun Amazon Web Hizmetleri (AWS) ortamına ilk erişimi elde etmek için genel depolarından kaynaklanan meşru kimlik bilgilerini elde ediyor” dedi. söz konusu.
“Tehdit altındaki kimlik bilgileriyle ilişkili izinler ihlalin etkisini sınırlasa da, Bling Libra kuruluşun AWS ortamına sızdı ve keşif operasyonları yürüttü. Tehdit aktörü grubu, S3 kova yapılandırmaları hakkında bilgi toplamak, S3 nesnelerine erişmek ve verileri silmek için Amazon Simple Storage Service (S3) Browser ve WinSCP gibi araçları kullandı.”
SOCRadar’a göre, bu durum fidye yazılımı saldırılarında da önemli bir evrimin izlerini taşıyor; bu saldırılar dosya şifrelemenin ötesine geçerek karmaşık, çok yönlü gasp stratejileri kullanıyor, hatta üçlü ve dörtlü gasp şemaları bile kullanıyor.
Şirket, “Üçlü gasp, şifreleme ve sızdırmanın ötesinde ek kesinti yöntemlerini tehdit ederek bahsi yükseltiyor” dedi. söz konusu.
“Bu, kurbanın sistemlerine karşı bir DDoS saldırısı düzenlemeyi veya kurbanın müşterilerine, tedarikçilerine veya diğer ortaklarına doğrudan tehditler yönelterek, gasp planında hedef alınan kişilere operasyonel ve itibar açısından daha fazla zarar vermeyi içerebilir.”
Dörtlü gasp, mağdurlarla iş ilişkisi olan üçüncü taraflarla iletişime geçip onlardan gasp ederek veya mağdurları üçüncü taraflara ait verileri ifşa etmekle tehdit ederek mağdur üzerinde daha fazla baskı oluşturarak riski artırır.
RaaS modellerinin kazançlı yapısı, aşağıdaki gibi yeni fidye yazılımı çeşitlerinde bir artışa yol açtı: Allarich, Kronos, SiberVolk, Veri siyahı, Ölüm Tutuşu, Şahin GözüVe UykusuzlukAyrıca İran ulus-devlet aktörlerinin işbirliği yapmak NoEscape, RansomHouse ve BlackCat gibi bilinen gruplarla, yasadışı gelirin bir kısmı karşılığında.