RansomHub cilja više od 600 organizacija

AUTOR ·

RansomHub grupa postaje jedna od najvećih prijetnji ucjenjivačkog softvera (eng. ransomware) u periodu 2024-2025 godine, pokazuje istraživanje kompanije Group-IB. Ova grupa radi po modelu ucjenjivači softver kao usluga (eng. ransomware-as-a-service – RaaS) i cilja Windows, VMware ESXi, Linux i FreeBSD sisteme u globalnim napadima.

RansomHub

RansomHub cilja više od 600 organizacija; Source: Bing Image Creator

RANSOMHUB

RansomHub grupa je svojom pojavom odmah napravila evoluciju u taktici ucjenjivačkog softvera. Zlonamjerni akteri su strateški reklamirali program partnerstva grupe na RAMP forumu 2. februara 2024. godine, označavajući zvanični ulazak RansomHub grupe u arenu sajber kriminala. Ovo je ujedno bio i strateški potez koji je iskoristio uticaj operacija za sprovođenje zakona na druge istaknute grupe ucjenjivačkog softvera kao što su LockBit i ALPHV. Grupa je pokrenula svoj partnerski program tokom tekućih akcija za sprovođenje zakona protiv ovih grupa, što joj je strateški omogućilo da iskoristi vakuum koji je nastao rušenjem ovih grupa, privlačeći filijale koje su ranije bile povezane sa ovim i drugim demontiranim ili ciljanim operacijama ucjenjivačkog softvera.

RansomHub grupa radi po modelu ucjenjivači softver kao usluga (RaaS), što znači da nudi svoj zlonamjerni softver i usluge drugim zlonamjernim akterima u zamjenu za procenat otkupnine koju su platile žrtve. Ovaj poslovni model omogućava RansomHub grupi da brzo i efikasno širi svoj domet, što je čini značajnom prijetnjom za različite industrije širom sveta. Filijale ove grupe su bile posebno aktivne u ciljanju zdravstvenih kompanija, uključujući bolnice i klinike. U stvari, oko 44 takve organizacije su prijavile da su kompromitovane RansomHub napadima ucjenjivačkog softvera prema najnovijim dostupnim podacima, dok je ukupan broj pogođenih organizacija iz raznih sektora preko 600.

RansomHub operateri su pokazali i dobro razumijevanje prilagodljivosti modernog ucjenjivačkog softvera. Oni iskorišćavaju neažurirane ranjivosti, koriste napredne tehnike izviđanja i koriste automatizaciju kako bi povećali svoje operacije. Ovaj strateški pristup je omogućio RansomHub grupi da zauzme prostor za sebe u digitalnom prostoru, pozicionirajući sebe kao značajnog zlonamjernog aktera o kojem organizacije i korisnici trebaju voditi računa.

 

Funkcionisanje

Funkcionisanje RansomHub ucjenjivačkog softvera je kompleksno i zamršeno. Po dobijanju pristupa, zlonamjerni akter koristi alatku koja otprema podatke eksterno na C2 server u svrhu eksfiltracije, gdje dolazi do upotrebe Filezilla softver kao alat za eksfiltraciju. Korištenjem ovog dobro poznatog i široko korištenog klijenta protokola za prenos datoteka (eng. file transfer protocol – FTP) omogućava stapanje sa legitimnim saobraćajem, što otežava bezbjednosnim rješenjima da otkriju njihove zlonamjerne aktivnosti.

Nakon završetka operacija eksfiltracije, zlonamjerni akter se pripremio za završnu fazu napada – šifrovanje podataka i iznudu. Ova faza je uključivala akcije koje su imale za cilj da sve podatke kompanije učine nečitljivim, nedostupnim i nemogućim za vraćanje bez plaćanja otkupnine. Prva radnja je uključivala onemogućavanje usluge rezervne kopije koju je implementirala žrtva, osiguravajući da nema dostupnih opcija oporavka.

U završnoj fazi svog napada, RansomHub operateri bi šifrovali sve podatke sačuvane na različitim mrežnim povezanim skladištima (eng. netvork attached storage – NAS) koristeći jak algoritam za šifrovanje. Time su podaci postali potpuno nečitljivi i nedostupni žrtvi. Potom je dostavljena poruka o otkupnini, u kojoj se zahtijevalo plaćanje u kriptovaluti u zamjenu za ključ za dešifrovanje.

Nakon što završi napad, RansomHub zlonamjerni softver uklanja neke od svojih digitalnih otisaka sa mreže žrtve i ostavlja bilješku o otkupnini sa uputstvima kako da se plati tražena otkupnina i preuzme ključ za dešifrovanje. Grupa obično zahteva plaćanje u kriptovalutama kao što su Bitcoin ili Monero, koje nude određeni stepen anonimnosti za obje strane uključene u transakciju. Napad se završava nakon manje od 14 sati, što ukazuje da su RansomHub filijale visoko kvalifikovane i efikasne u izvođenju svojih napada.

Kada se uplata primi, RansomHub operater obezbjeđuje alate za dešifrovanje ili ključeve koji omogućavaju žrtvama da povrate pristup svojim podacima. Međutim, bitno je napomenuti da ova rješenja nisu uvijek pouzdana i da je bilo slučajeva u kojima obezbijeđeni alati za dešifrovanje nisu funkcionisali kako je predviđeno.

 

Višeplatformski napad

RansomHub ucjenjivački softver je svestrani zlonamjerni softver koji radi na više platformi i arhitektura, uključujući Windows, ESXi, Linux i FreeBSD operativne sisteme. Ovaj višestrani pristup omogućava ucjenjivačkom softveru da se s lakoćom infiltrira u različita okruženja, omogućavajući mu pristup različitim IT pejzažima.

 

Windows varijanta

Windows varijanta RansomHub ucjenjivačkog softvera je moćan zlonamjerni softver koji se distribuira kao izvršna datoteka (EXE), što ga čini lako prikrivenim i proširivim među korisnicima koji ništa ne sumnjaju. Ova verzija se može pohvaliti širokim nizom opcija komandne linije, pružajući korisniku potpunu kontrolu nad procesom izvršavanja.

Sveobuhvatan skup opcija komandne linije omogućava fino podešavanje ponašanja ucjenjivačkog softvera kako bi odgovaralo specifičnim potrebama ili okruženju. Ove opcije omogućavaju napredne mogućnosti ciljanja koje mogu pomoći zlonamjernom softveru da efikasnije izbjegne detekciju i mjere bezbjednosti, što ga čini ogromnom prijetnjom za računarske sisteme širom sveta.

Jedna od ključnih karakteristika Windows varijante je podrška za izvršavanje bezbjednog režima (eng. safe mode). Ova funkcija omogućava ucjenjivačkom softveru da zaobiđe određene bezbjednosne mjere i pokrene se čak i kada se sistem pokrene u bezbjednom režimu ili kada su mrežna ograničenja omogućena. Na taj način može da šifruje datoteke koje bi inače mogle biti zaštićene tokom normalnog rada.

Drugi ključni aspekt ove varijante je njena sposobnost da šifruje ne samo lokalne datoteke već i umrežene datoteke (SMB dijeljenja). Ova mogućnost proširuje potencijalnu štetu koju izaziva ucjenjivački softver, jer se lako može širiti mrežom, inficirati više sistema i učiniti ih beskorisnim primjenom šifrovanja podataka.

 

Linux i FreeBSD varijanta

Ova varijanta RansomHub ucjenjivačkog softvera, zbog prirode ovih operativnih sistema, nudi ograničeniji skup funkcija u poređenju sa sveobuhvatnim paketom dostupnim u Windows verziji. Primarni fokus ove Linux/FreeBSD varijante je na šifrovanju datoteka unutar određenih direktorijuma. Ovaj ciljani pristup omogućava ovoj varijanti da zaobiđe ili smanji potencijalne konflikte sa sistemskim procesima i kritičnim podacima koji mogu biti prisutni u drugim oblastima ovih sistema.

Opcije okruženja komandne linije (eng. command-line interface – CLI) za Linux/FreeBSD varijanta su pojednostavljene, nudeći manje izbora od onih dostupnih za Windows varijantu. Ovaj pojednostavljeni pristup je vjerovatno zbog inherentnih razlika između dvije porodice operativnih sistema i njihovih odgovarajućih korisničkih okruženja. Na primjer, dok varijanta za Windows podržava napredno ciljanje, izvršavanje bezbjednog režima i šifrovanje lokalnih i umreženih datoteka (SMB dijeljenja), ove opcije nisu prisutne u ovoj verziji za Linux/FreeBSD.

Umjesto toga, Linux/FreeBSD varijanta se fokusira na šifrovanje datoteka unutar određenih direktorijuma. Bitno je napomenuti da ako nije navedena određena putanja tokom izvršenja, ucjenjivački softver neće šifrovati nijednu datoteku. Ovaj izbor dizajna obezbjeđuje da ne dođe do slučajnog ili nenamjernog šifrovanja kritičnih sistemskih datoteka, što bi potencijalno moglo da poremeti funkcionisanje ciljanih Linux/FreeBSD sistema.

 

VMware varijanta

VMware varijanta ovog ucjenjivačkog softvera je posebno dizajnirana da cilja i nanese štetu VMware ESXi serverima, koji se široko koriste u okruženjima centara podataka za virtuelizaciju servera. Ova verzija podrazumijevano radi u direktorijumu volumena /vmfs/, logičkom sistemu datoteka koji upravlja svim datotekama unutar ESXi skladišta podataka. VMware varijanta se izdvaja među ostalim RansomHub varijantama ucjenjivačkog softvera zbog svojih jedinstvenih metoda ciljanja i šifrovanja prilagođenih ovoj specifičnoj platformi.

Jedna značajna karakteristika VMware varijante je njena sposobnost da ignoriše određene virtuelne mašine koje rade tokom procesa šifrovanja. Ovo omogućava zlonamjernim akterima da se fokusiraju samo na o virtuelne mašine koje će im pomoći da ostvare svoje ucjenjivačke namjere i smanje mogućnost detekcije. Ovdje treba imati na umu, iako pojedine virtuelne mašine ostaju funkcionalne, to ne znači da prijetnju treba podceniti; čak i ako je nekoliko virtuelnih mašina pogođeno, to i dalje može prouzrokovati značajnu štetu i poremećaj.

Važno je znati, da se VMware varijanta ne oslanja na jednu tačku ulaska da bi se infiltrirala na ESXi server. Umjesto toga, koristi različite tehnike kao što su iskorišćavanje ranjivosti, napadi socijalnog inženjeringa ili čak kompromitovanje drugih sistema unutar mreže koji imaju pristup ciljnom VMware okruženju.

 

SFTP vajianta

SFTP varijanta ovog ucjenjivačkog softvera je najnovija njegova varijanta koje ciljaju datoteke na udaljenim Secure File Transfer Protocol – SFTP serverima. Ova specifična verzija zlonamjernog softvera radi tako što se povezuje direktno na SFTP server ili preko posredničkog (eng. proxy) servera radi dodatne fleksibilnosti i bezbjednosti.

Primarna funkcija SFTP varijante uključuje šifrovanje datoteka uskladištenih unutar ciljanog SFTP servera, čime se ometa normalno funkcionisanje sistema i potencijalno uzrokuje značajan gubitak podataka za pogođenu organizaciju. Proces šifrovanja je dizajniran da bude efikasan, podržava operacije sa više niti koje omogućavaju brže vreme obrade u poređenju sa jednonitnim alternativama. Važno je napomenuti da SFTP varijanta, radi bez određene putanje kada u početku inficiranja sistema. Međutim, kada se jednom aktivira, ona posebno cilja datoteke unutar SFTP servera i počinje da ih šifruje prema svom unaprijed definisanom algoritmu za šifrovanje.

Sposobnost SFTP varijante da se poveže direktno ili preko posredničkog servera dodaje još jedan sloj složenosti u smislu potencijalnih ulaznih tačaka i metoda širenja unutar pogođene mreže. Direktnim povezivanjem, ucjenjivački softver može da zaobiđe određene bezbjednosne mjere koje bi mogle biti postavljene na samom SFTP serveru, kao što su zaštitni zidovi ili sistemi za otkrivanje upada (eng. intrusion detection systems – IDS). S druge strane, korištenje posredničkog servera omogućava SFTP varijanti da maskira svoje pravo poreklo i potencijalno izbjegne da je otkriju bezbjednosni mehanizmi.

 

Šifrovanje više operativnih sistema

Mogućnosti šifrovanja na više operativnih sistema predstavljaju značajan aspekt RansomHub arsenala, omogućavajući ovoj grupi da ciljaju i šifruju datoteke na različitim platformama. Ova raznovrsnost u mogućnostima šifrovanja jedan je od ključnih faktora koji su ovoj grupi omogućili da izvrši globalne napade na raznoliku infrastrukturu.

Mogućnosti šifrovanja RansomHub ucjenjivačkog softvera su prilagođene različitim okruženjima, sa jedinstvenim argumentima komandne linije i metodama šifrovanja dizajniranim posebno za svaki podržani operativni sistem. Ova prilagodljivost omogućava ucjenjivačkom softveru da se neprimjetno uklopi u različite sisteme bez izazivanja sumnje.

Na primjer, na Windows sistemima, ucjenjivački softver se može izvršiti pomoću PowerShell komande gdje parametri specificiraju različite opcije kao što su lozinka (u SHA256 formatu), režim brzog šifrovanja, onemogućavanje mrežne komunikacije i izvršavanje u bezbjednom režimu.

Linux varijanta ovog ucjenjivačkog softvera je takođe opremljena naprednim metodama šifrovanja. Koristi JSON konfiguracionu datoteku koja se dešifruje tokom izvršavanja da bi odredila direktorijume sa bijele liste, liste za uklanjanje za procese/usluge i akreditive za bočno kretanje unutar kompromitovanog sistema. Ova fleksibilnost omogućava ucjenjivačkom softveru da efikasno cilja kritične datoteke na Linux sistemima.

VMware ESXi enkriptor je napisanu C++ programskom jeziku, cilja virtuelne mašine koristeći vim-cmd komande i šifruje datoteke virtualnih mašina (kao što su .vmdk i .vmx) sa ChaCha20 i Curve25519 algoritmima. Ovaj proces šifrovanja narušava funkcionalnost ovih virtuelnih mašina, nanoseći značajnu štetu ciljnoj infrastrukturi.

Proces šifrovanja RansomHub ucjenjivačkog softvera je optimizovan za performanse i brzinu. Podrazumijevano, šifruje jedan megabajt (MB) sadržaja datoteke u redovnim intervalima, sa podrazumijevanom veličinom intervala od 3 MB (3:1 – šifruje 1 MB, preskoči 3 MB). Ovaj dizajn omogućava brže šifrovanje za veće datoteke. Međutim, režim brzog šifrovanja se može konfigurisati preko argumenata komandne linije da bi se povećao interval šifrovanja do 9 MB, omogućavajući filijalama da još brže šifruju veoma velike datoteke.

Svakoj šifrovanoj datoteci se dodaje prilagođena ekstenzija, a na kraju procesa šifrovanja, napomena o otkupnini pojavljuje se u svakom pogođenom direktorijumu. Ova poruka o otkupnini sadrži uputstva o tome kako platiti otkupninu platite otkupninu da bi se mogle dešifrovati datoteke i vratiti pristup ugroženim sistemima.

 

Alat za uklanjanje

Alat za uklanjanje koji koristi RansomHub ucjenjivački softver je sofisticiran i opasan alat koji su zlonamjerni akteri osmislili kao terminator za bezbjednosne alate. Ovaj zlonamjerni softver radi u dvije faze: softver za učitavanje i konačni korisni teret (terminator). Primarna funkcija softvera za učitavanje je da provjeri da li ima određeni prekidač komandne linije, da se uvjeri da ispunjava određene kriterijume, preuzme komandno okruženje iz resursa, zapiše ga na disk i izvrši, a zatim koristi AES algoritam sa datim ključem kao ključem za dešifrovanje.

Konačni teret (terminator) je još opasniji. Prvo ispušta ranjivi upravljački softver (eng. driver) jezgra sistema na uređaj, prije nego što kreira muteks da spriječi istovremeno pokretanje više instanci terminatora. Alat zatim instalira zlonamjerni upravljački program kao uslugu na sistemu, dajući mu postojanost i kontrolu nad pogođenim uređajem.

Primarni cilj terminatora je da identifikuje i završi specifične bezbjednosne procese koje zlonamjerni akteri smatraju prijetnjama. Terminator podržava opsežnu listu softverskih naziva procesa bezbjednosnog softvera. Ova lista pogađa proizvode i usluge kao što su: Microsoft Defender Antivirus, Microsoft Defender for Endpoint, Tanium Client, Trend Micro OfficeScan, Trend Micro Background Management Service, Trend Micro Worry-Free Business Security Services, Cybereason ActiveProbe, Cybereason EDR, Palo Alto Networks Traps Endpoint Security, Palo Alto Networks Cortex XDR, Citrix Workspace Services, Carbon Black Cloud Endpoint Standard, Fortinet FortiEDR, ESET Inspect i drugi. Prekidanjem procesa i servisa ovih proizvoda, terminator osigurava da nijedan bezbjednosni alat ne može da ometa njegove zlonamjerne aktivnosti na kompromitovanom sistemu.

 

Uticaj

Digitalna međupovezanost koja je donijela brojne prednosti takođe otkriva sistemske ranjivosti, omogućavajući zlonamjernim akterima da ciljaju veće entitete kao što su zdravstvene ustanove, finansijske institucije, kritična infrastruktura i vladini sektori. Pojava platformi po modelu ucjenjivači softver kao usluga (RaaS) dodatno smanjuje barijere za ambiciozne zlonamjerne aktere, pružajući im pristup naprednim alatima u zamjenu za udio u profitu.

Zbog toga, trend eskalacije napada ucjenjivačkog softvera, koji predvode subjekti kao što je RansomHub grupa, predstavlja ogromnu prijetnju za preduzeća i organizacije širom sveta. Uticaj RansomHub napada može biti dalekosežan i razoran za njegove žrtve. Ovi napadi često dovode do značajnih finansijskih gubitaka, jer se organizacije bore da povrate svoje podatke ili se upuštaju u pregovore sa zlonamjernim akterima, a sve dok pokušavaju da ublaže posljedice ugrožavanja. Poremećaj izazvan takvim incidentom može se proširiti i dalje od finansijskih gubitaka, uticati na operativnu efikasnost i narušiti reputaciju kompanije. Šteta po reputaciju može biti dugotrajna, potencijalno odvraćajući klijente i partnere od poslovanja sa pogođenom organizacijom.

 

ZAKLJUČAK

RansomHub grupa predstavlja značajnu prijetnju u svetu sajber kriminala zbog svoje brze adaptacije, svestranosti i sposobnosti da izazove ozbiljnu štetu upotrebom ucjenjivačkog softvera. Jedan od najupečatljivijih aspekata ove grupe je njena sposobnost da se prilagodi i evoluira alarmantnom brzinom. Grupa je pokazala sposobnost da nadmudri čak i iskusne profesionalce u ovoj oblasti, često ih iznenađujući novim taktikama, tehnikama i procedurama. Ova brza evolucija učinila je izazov za sigurnosne istraživače da prate i razvijaju efikasne protivmjere protiv njihovih napada.

Uticaj RansomHub grupe nije ograničen na tradicionalne aktivnosti ucjenjivačkog softvera. Takođe je primijećeno da koriste napredne alate i mogućnosti, dodatno proširujući obim svojih zlonamjernih operacija. Kako tehnologija nastavlja da napreduje, posebno sa sve većim uticajem generativnih platformi vještačke inteligencije (eng. artificial intelligence – AI), očekuje se da će ova grupa nastaviti da se razvija i predstavlja još veće izazove za profesionalce u sajber bezbjednosti u godinama koje dolaze.

Pojava i nastavak evolucije grupa kao što je RansomHub naglašava važnost budnosti i proaktivnih mjera sajber bezbjednosti u današnjem digitalnom okruženju. Kako ovi zlonamjerni akteri postaju sofisticiraniji, za organizacije je od ključnog značaja da ostanu informisane o njihovim taktikama i da shodno tome prilagode svoju odbranu. Ostajući korak ispred prijetnji, moguće je smanjiti uticaj napada i zaštititi dragocjene podatke od pada u pogrešne ruke.

 

ZAŠTITA

U nastavku slijedi nekoliko preporučenih koraka za jačanje odbrane od napada RansomHub grupe:

  1. Prva linija odbrane leži u edukaciji korisnika o potencijalnim rizicima povezanim sa phishing elektronskim porukama, zlonamjernim vezama i nepouzdanim preuzimanjima softvera. Redovne sesije obuke o svesti o bezbjednosti mogu pomoći zaposlenima da prepoznaju i efikasno izbjegnu ove prijetnje;
  2. Primjena jakih smjernica kontrole pristupa je ključna za sprečavanje neovlaštenog pristupa osjetljivim podacima. Ovo uključuje postavljanje čvrstih politika lozinki, implementaciju autentifikacije u više koraka (eng. multi-factor authentication – MFA) i ograničavanje privilegija korisnika na osnovu njihovih uloga u organizaciji;
  3. Održavati sve sisteme, softver i aplikacije ažuriranim najnovijim bezbjednosnim ispravkama. Ucjenjivački softver često koristi poznate ranjivosti u zastarelom softveru da bi ušao u sistem. Redovna primjena ispravki može pomoći u značajnom ublažavanju ovih rizika;
  4. Implementirati robusna rješenja za pravljenje rezervnih kopija koja obezbjeđuju da se kritični podaci redovno integrišu u rezervne kopije i bezbjedno čuvaju, kako na licu mjesta, tako i van njega. U slučaju napada ucjenjivačkog softvera, posjedovanje nedavnih rezervnih kopija omogućava brz oporavak bez podlijeganja zahtevima zlonamjernog aktera;
  5. Podjela mreže na manje segmente može ograničiti širenje ucjenjivačkog softvera unutar organizacije u slučaju da dođe do infekcije. Izolovanjem kritičnih sistema i podataka iz manje osjetljivih oblasti, smanjuje se potencijalna šteta prouzrokovana uspješnim napadom;
  6. Primijeniti napredna rješenja za zaštitu krajnjih tačaka koja mogu da otkriju i spriječe zlonamjerne aktivnosti na nivou uređaja. Ova rješenja bi trebalo da budu sposobna da identifikuju i blokiraju ucjenjivački softver na osnovu njegovih obrazaca ponašanja i poznatih indikatora kompromisa (eng. indicators of compromise – IOC);
  7. Implementirati tehnologije filtriranja elektronske pošte da bi se blokirale phishing poruke elektronske pošte koje sadrže zlonamjerne priloge ili veze koje mogu dovesti do infekcije RansomHub ucjenjivačkim softverom. Ova rješenja bi trebalo da budu u stanju da analiziraju sadržaj dolaznih elektronskih poruka u potrazi za sumnjivim aktivnostima i da ih u skladu s tim blokiraju;
  8. Važno je posjedovati plan odgovora na sajber prijetnju kako bi se osigurala brza reakcija kada dođe do napada ucjenjivačkog softvera. Plan treba da navede jasne korake za identifikaciju, obuzdavanje, iskorjenjivanje, oporavak od incidenta i učenje iz njega. Redovno ažuriranje i uvježbavanje plana odgovora na sajber prijetnju može pomoći da se smanji šteta uzrokovana budućim napadima.

Primjenom ovih preporuka moguće je značajno smanjiti rizik od infekcije ovom zlonamjernom prijetnjom i zaštiti dragocjene podatke organizacije.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.