Ransomhub fidye yazılımları (RAAS) programının arkasındaki tehdit aktörleri, Microsoft Active Directory’deki şimdi paketlenmiş güvenlik kusurlarından yararlanarak ve Netlogon protokolünü, ayrıcalıkları artırmak ve bir kurban ağının Domain Controller’a bir parçası olarak yetkisiz erişim elde etmek için gözlemlenmiştir. onların gelişim sonrası stratejileri.
“Ransomhub, sağlık, finans, hükümet ve kritik altyapı gibi sektörleri kapsayan, 2024’te en aktif fidye yazılımı grubu olarak kurulan 600’den fazla kuruluşu hedefledi.” söz konusu Bu hafta yayınlanan kapsamlı bir raporda.
Fidye yazılımı grubu ilk olarak Şubat 2024’te ortaya çıktı ve operasyonlarını hızlandırmak için rampa siber suçlarından şimdi yok olan Şövalye (eski adıyla Cyclops) Raas Gang ile ilişkili kaynak kodu aldı. Yaklaşık beş ay sonra, SFTP protokolü aracılığıyla verileri uzaktan şifreleme yeteneklerine sahip olan Yasadışı pazarında dolabın güncellenmiş bir sürümü ilan edildi.
Windows, VMware ESXI ve SFTP sunucularında dosyaları şifreleyebilen birden fazla varyantta gelir. Ransomhub ayrıca, bir ortaklık programının bir parçası olarak Lockbit ve Blackcat gruplarından bağlı kuruluşları aktif olarak işe alarak, rakiplerini hedefleyen kolluk eylemlerinden yararlanma girişimini göstermiştir.
Singapurlu siber güvenlik şirketi tarafından analiz edilen olayda, tehdit oyuncusunun halka açık bir konsept kanıtı kullanarak Palo Alto Networks Pan-OS cihazlarını (CVE-2024-3400) etkileyen kritik bir kusurdan yararlanmaya çalıştığı söyleniyor ( ), nihayetinde kurban ağını VPN hizmetine karşı kaba bir saldırı yoluyla ihlal etmeden önce.
Araştırmacılar, “Bu kaba kuvvet denemesi, 5.000’den fazla kullanıcı adı ve şifreden oluşan zenginleştirilmiş bir sözlüğe dayanıyordu.” Dedi. “Saldırgan sonunda veri yedekleme çözümlerinde sıkça kullanılan varsayılan bir hesap aracılığıyla erişim elde etti ve çevre nihayet ihlal edildi.”
İlk erişim, daha sonra fidye yazılımı saldırısını gerçekleştirmek için istismar edildi, hem veri şifrelemesi hem de uzlaşmadan itibaren 24 saat içinde ortaya çıkan eksfiltrasyon.
Özellikle, Active Directory’de (CVE-2021-42278 AKA NOPAC) ve Netlogon Protokolü’nde (CVE-2020-1472 aka’da bilinen iki güvenlik kusurunun silahlandırılmasını içeriyordu. Zerologon) etki alanı denetleyicisinin kontrolünü ele geçirmek ve ağ boyunca yanal hareket yapmak.
Araştırmacılar, “Yukarıda belirtilen güvenlik açıklarının sömürülmesi, saldırganın Microsoft Windows tabanlı bir altyapının sinir merkezi olan alan denetleyicisine tam ayrıcalıklı erişim elde etmesini sağladı.” Dedi.
“Sunum işlemlerinin tamamlanmasının ardından saldırgan, saldırının son aşaması için çevreyi hazırladı. Saldırgan, çeşitli NAS’a kaydedilen, tamamen okunamayan ve erişilemez ve geri yüklemeye izin verilmeyen tüm şirket verilerini işledi. Mağduru verilerini geri almaya fidye ödemeye zorlamak. “
Saldırının bir diğer dikkate değer yönü, son nokta güvenlik çözümlerini durdurmak ve atlamak için PCHUNTER kullanılması ve veri açığa çıkması için FileZilla’nın kullanılmasıdır.
Araştırmacılar, “Ransomhub grubunun kökenleri, saldırgan operasyonları ve diğer gruplarla örtüşen özellikleri canlı bir siber suç ekosisteminin varlığını doğrulamaktadır.” Dedi.
Diyerek şöyle devam etti: “Bu ortam, yüksek profilli kurbanların, rezil grupların ve önemli miktarda paranın merkezi rol oynadığı sağlam bir yeraltı pazarını körükleyerek, araçların ve kaynak kodlarının paylaşımına, yeniden markalanmasına ve yeniden markalanmasına dayanıyor.”
Geliştirme, siber güvenlik firması, Lynx olarak bilinen bir “müthiş Raas operatörünün” iç işleyişini detaylandırarak, bağlı kuruluş iş akışlarına ışık tutuyor, pencereler için çapraz fidye yazılımı cephaneliği ve ESXI ortamları ve özelleştirilebilir şifreleme modları.
Fidye yazılımlarının Windows ve Linux sürümlerinin bir analizi, tehdit aktörlerinin muhtemelen ikincisinin kaynak kodunu edindiğini gösterir.
“İştirakler, rekabetçi, işe alım odaklı bir stratejiyi yansıtan% 80 fidye geliri ile teşvik edilir” söz konusu. “Lynx kısa süre önce birden fazla şifreleme modu ekledi: ‘hızlı,’ ‘orta,’ ‘yavaş’ ve ‘bütün’, bağlı kuruluşlara dosya şifrelemesinin hızı ve derinliği arasındaki değişimi ayarlama özgürlüğünü vermek.”
“Grubun yeraltı forumlarındaki işe alım görevleri, Lynx’in operasyonel güvenlik ve kalite kontrolüne olan vurgusunu vurgulayarak, pentesterler ve yetenekli saldırı ekipleri için katı bir doğrulama sürecini vurgular. Ayrıca, sürekli olarak taciz kurbanları ve gelişmiş depolama çözümleri için ‘çağrı merkezleri’ sunarlar. sonuçlar.”
Son haftalarda, finansal olarak motive edilmiş saldırılar, lockbit fidye yazılımlarını sunmak için kimlik avı e -postaları aracılığıyla yayılan Phorpiex (diğer adıyla Trik) Botnet kötü amaçlı yazılım kullanılarak gözlenmiştir.
“Geçmiş Lockbit fidye yazılımı olaylarından farklı olarak, tehdit aktörleri Lockbit fidye yazılımını teslim etmek ve yürütmek için Phorpiex’e güveniyordu,” Cyberseason dikkat çeken bir analizde. “Bu teknik, fidye yazılımı dağıtımının genellikle saldırıyı yapan insan operatörlerinden oluştuğu için benzersizdir.”
Bir başka önemli başlangıç enfeksiyon vektörü, iç ağ cihazlarına ve ana bilgisayarlarına erişmek ve sonuçta Abyss Locker fidye yazılımlarını dağıtmak için eşleştirilmemiş VPN aletlerinin (örn. CVE-2021-20038) sömürülmesi ile ilgilidir.
Saldırılar ayrıca kalıcılığı korumak için tünelleme araçlarının kullanılması ve uç nokta koruma kontrollerini devre dışı bırakmak için kendi savunmasız sürücü (BYOVD) tekniklerinizi getirme ile karakterize edilir.
“Çevreye erişim sağladıktan ve keşif yaptıktan sonra, bu tünelleme araçları, ESXI ana bilgisayarları, Windows ana bilgisayarları, VPN aletleri ve ağ ekli depolama (NAS) cihazları dahil olmak üzere kritik ağ cihazlarına stratejik olarak dağıtılır.” Sygnia araştırmacıları söz konusu.
“Bu cihazları hedefleyerek, saldırganlar erişimi sürdürmek ve kötü niyetli faaliyetlerini tehlikeye atılan ağ üzerinden düzenlemek için sağlam ve güvenilir iletişim kanalları sağlar.”
Fidye yazılımı manzarası – Yeni ve eski tehdit aktörleri – Mağdurlar giderek daha fazla ödeme yapmayı reddetse bile, 2024’te ödemelerde bir düşüşe yol açan saldırılar, geleneksel şifrelemeden veri hırsızlığı ve gasplara dönen saldırılar ile akışta kalmaya devam ediyor.
“Ransomhub ve Akira gibi gruplar artık çalınan verileri büyük ödüllerle teşvik ederek, bu taktikleri oldukça kazançlı hale getiriyor,” söz konusu.
