В 2024 году на киберпреступной сцене стремительно появился новый
игрок — группировка RansomHub, которая успела атаковать уже более 600 организаций по всему миру. По данным исследования Group-IB, группа RansomHub заполнила вымогательскую нишу после недавних нарушений в деятельности ALPHV и LockBit .
Эксперты отмечают, что RansomHub действует в формате ransomware-as-a-service (RaaS), активно привлекая партнёров на подпольных форумах, таких как RAMP. Основной стратегией стало переманивание хакеров , ранее работавших на другие группировки, что позволило RansomHub быстро нарастить масштабы атак.
Анализ кода вредоноса показал, что группировка, вероятно, приобрела своё программное обеспечение у Knight (Cyclops), другой известной киберпреступной организации. Использование готовых решений ускорило развёртывание атак, а мультиплатформенность программы позволяет шифровать системы на Windows, ESXi, Linux и FreeBSD, расширяя список потенциальных жертв.
RansomHub отличается высокой степенью организованности. Группировка использует как проверенные техники взлома — атаки на VPN-сервисы и подбор паролей, так и сложные методы, включая эксплуатацию уязвимостей нулевого дня. В арсенале атакующих — инструменты вроде PCHunter, позволяющие обходить средства защиты.
Тактика атак включает тщательное исследование сети жертвы и захват наиболее ценных данных. Операторы проникают в инфраструктуру, получают контроль над критическими узлами — файловыми хранилищами, резервными копиями, серверами — и переносят конфиденциальные сведения на удалённые серверы. Для передачи информации преступники используют Filezilla, а затем запускают процесс шифрования на скомпрометированных хостах.
После завершения атаки RansomHub шантажирует жертву, требуя выкуп за расшифровку и непубликацию данных. Программа-вымогатель способна останавливать виртуальные машины, уничтожать теневые копии файлов и зачищать журналы событий, затрудняя расследование инцидента .
Одной из наиболее разрушительных атак RansomHub стала операция, проведённая всего за 14 часов. Преступники использовали уязвимость в межсетевом экране Palo Alto ( CVE-2024-3400 ) для первичного доступа, затем применили брутфорс учётных данных от VPN-клиента. После этого атакующие эксплуатировали старые бреши в Windows ( CVE-2021-42278 и CVE-2020-1472 ), получая полный контроль над сетью.
Эксперты подчёркивают, что столь эффективная деятельность RansomHub стала возможной из-за несвоевременного обновления операционных систем. Если та или иная компания становится жертвой атаки через уязвимость, закрытую несколько лет назад, то виновато в этом исключительно её собственное халатное отношение к кибербезопасности. В данном случае глупо перекладывать ответственность на поставщиков программного обеспечения.
Растущая активность RansomHub свидетельствует о продолжающейся эволюции киберугроз. Организации должны усиливать свою защиту, регулярно обновлять программное обеспечение и минимизировать поверхность атаки, чтобы не попасть в список жертв RansomHub и прочих вымогательских группировок.
group-ib.com/blog/ransomhub-never-sleeps-episode-1
ptsecurity.com/ru-ru/research/threatscape
Эксперты отмечают, что RansomHub действует в формате ransomware-as-a-service (RaaS), активно привлекая партнёров на подпольных форумах, таких как RAMP. Основной стратегией стало переманивание хакеров , ранее работавших на другие группировки, что позволило RansomHub быстро нарастить масштабы атак.
Анализ кода вредоноса показал, что группировка, вероятно, приобрела своё программное обеспечение у Knight (Cyclops), другой известной киберпреступной организации. Использование готовых решений ускорило развёртывание атак, а мультиплатформенность программы позволяет шифровать системы на Windows, ESXi, Linux и FreeBSD, расширяя список потенциальных жертв.
RansomHub отличается высокой степенью организованности. Группировка использует как проверенные техники взлома — атаки на VPN-сервисы и подбор паролей, так и сложные методы, включая эксплуатацию уязвимостей нулевого дня. В арсенале атакующих — инструменты вроде PCHunter, позволяющие обходить средства защиты.
Тактика атак включает тщательное исследование сети жертвы и захват наиболее ценных данных. Операторы проникают в инфраструктуру, получают контроль над критическими узлами — файловыми хранилищами, резервными копиями, серверами — и переносят конфиденциальные сведения на удалённые серверы. Для передачи информации преступники используют Filezilla, а затем запускают процесс шифрования на скомпрометированных хостах.
После завершения атаки RansomHub шантажирует жертву, требуя выкуп за расшифровку и непубликацию данных. Программа-вымогатель способна останавливать виртуальные машины, уничтожать теневые копии файлов и зачищать журналы событий, затрудняя расследование инцидента .
Одной из наиболее разрушительных атак RansomHub стала операция, проведённая всего за 14 часов. Преступники использовали уязвимость в межсетевом экране Palo Alto ( CVE-2024-3400 ) для первичного доступа, затем применили брутфорс учётных данных от VPN-клиента. После этого атакующие эксплуатировали старые бреши в Windows ( CVE-2021-42278 и CVE-2020-1472 ), получая полный контроль над сетью.
Эксперты подчёркивают, что столь эффективная деятельность RansomHub стала возможной из-за несвоевременного обновления операционных систем. Если та или иная компания становится жертвой атаки через уязвимость, закрытую несколько лет назад, то виновато в этом исключительно её собственное халатное отношение к кибербезопасности. В данном случае глупо перекладывать ответственность на поставщиков программного обеспечения.
Растущая активность RansomHub свидетельствует о продолжающейся эволюции киберугроз. Организации должны усиливать свою защиту, регулярно обновлять программное обеспечение и минимизировать поверхность атаки, чтобы не попасть в список жертв RansomHub и прочих вымогательских группировок.
group-ib.com/blog/ransomhub-never-sleeps-episode-1
ptsecurity.com/ru-ru/research/threatscape
зная тебя, у тебя все впереди, изучай, пробуй.