3,5K подписчиков
#news Исследователи опубликовали отчёт по RansomHub, восходящем бренде рансомварь-сцены. Из ключевого, группировка четвёртая по числу заявленных атак за последние 3 месяца, комиссия 90% для партнёров и пересечения в коде с рансомварью от BlackCat и Knight.
Knight Ransomware ушла на продажу в феврале этого года после закрытия операции, так что, возможно, RansomHub собрали свой энкриптор на её основе. Версии под Linux и Windows написаны на Go, под ESXi — на C+. В основном атаки идут по крупным компаниям в IT-сфере. Как обычно, доступны IoCs, правила YARA и Sigma плюс забавная уязвимость в энкрипторе под ESXi. Он создаёт файл для предотвращения запуска нескольких экземпляров. И если исправить в нём параметр на -1, рансомварь уходит в бесконечный цикл. Подробнее о новой операции в 44-страничном отчёте (PDF).
25 июня