В 2024 году мир кибербезопасности стал свидетелем значительных изменений в области программ-вымогателей. По данным исследователей ESET, на первый план вышел новый игрок — RansomHub, продвинутая программа-вымогателя как услуги (RaaS). События, связанные с появлением RansomHub, показали, что даже после снижения активности таких известных банд, как LockBit и BlackCat, не стоит недооценивать угрозы, исходящие от новых форматов киберпреступности.
Увеличение активности RansomHub
С момента своего появления RansomHub стремительно увеличил свои масштабы, продемонстрировав следующие результаты:
- Увеличение числа жертв на 15% на специализированных сайтах утечек (DLSS).
- Снижение на 35% общего количества зарегистрированных платежей от программ-вымогателей в связи с ростом популярности RansomHub.
Структура RansomHub заключается в взаимодействии между операторами и аффилированными лицами. Операторы разрабатывают и предоставляют инструменты для вымогательства, в то время как аффилированные лица используют эти инструменты для атак на сети жертв.
Новые инструменты и методики
Необычным элементом в arsenal RansomHub является EDRKillShifter, специализированный EDR-убийца, созданный для отключения решений по обнаружению конечных точек во время атак. Этот инструмент включает уникальные функции, такие как:
- Защищенный паролем шелл-код;
- Ограниченный доступ к критически важным операциям и спискам целевых объектов.
С внедрением EDRKillShifter RansomHub делает шаг вперед, отказываясь от привычных моделей RaaS, что создает проблемы для обеспечения безопасности организаций.
Стратегия вербовки и переработка кода
Стратегия вербовки банды оказалась агрессивной, с низкими барьерами для оказания услуг, позволяя потенциальным партнерам внести депозит и сохранить до 90% выкупа. Шифровальщик программ-вымогателей RansomHub использует переработанный код Knight, что подтверждает тенденцию переработки вредоносного ПО среди киберпреступников.
Адаптивность и новые угрозы
Анализ деятельности аффилированных лиц RansomHub показал связь с другими группировками, такими как Play, Medusa и BianLian. Исследователи выявили хакера по имени QuadSwitcher, который работал с несколькими группамип одновременно, что указывает на взаимосвязь между разными бандами.
Сложные методы атак, включая использование собственного уязвимого драйвера (BYOVD), предоставляют злоумышленникам возможности повышенных привилегий и отключения средств безопасности, тем самым облегчая развертывание программ-вымогателей.
Заключение
Пандемия атак программ-вымогателей в 2024 году подчеркивает необходимость адаптации кибербезопасности к новым угрозам. Отслеживание аффилированных лиц стало стратегически важным для борьбы с ростом новых игроков RaaS, таких как RansomHub. Эффективное дезорганизация работы отдельных филиалов может замедлить развитие угроз, повышая устойчивость бизнесов к атакам программ-вымогателей.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Программы-вымогатели 2024: Восход RansomHub и новые угрозы".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.
