Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

Новая платформа RansomHub предоставляет услуги вымогательского ПО

25/06/24

GF_cVpgXoAASMn7

Платформа заражает системы Windows, Linux и ESXi, используя вредоносное ПО на основе Go и C++. Новый отчет Insikt Group описывает ключевые аспекты деятельности RansomHub, ее связи с ранее известным ПО Knight и меры по защите от угрозы.

Группировка быстро набрала обороты и стала четвертой по числу публично заявленных атак за последние 3 месяца, пишет Securitylab. А привлекательная комиссия в 90% привлекает опытных ссобщников, что приводит к резкому скачку числа заражений.

С момента своего появления RansomHub нанес вред 45 жертвам в 18 странах, преимущественно в ИТ-секторе. Такой факт указывает на стратегию «охоты на крупную дичь», когда злоумышленники выбирают такие компании, которые с большей вероятностью выплатят значительные суммы выкупа из-за серьезных финансовых последствий простоя.

Особо примечательна тактика использования RansomHub неправильно настроенных экземпляров Amazon S3 для доступа к резервным копиям не только основного объекта атаки, но и других клиентов того же поставщика резервных копий. В таких атаках киберпреступники шантажируют поставщиков решений по резервному копированию, угрожая утечкой данных клиентов.

Insikt Group выявила пересечения в коде между RansomHub и другими группами вымогателей, такими как ALPHV (BlackCat) и Knight Ransomware. Сходства могут свидетельствовать о возможных связях или общих ресурсах среди групп.

Вирус RansomHub, первая жертва которого была зафиксирована в том же месяце, уже связан с серией недавних атак, среди которых Change Healthcare, Christie's и Frontier Communications. Примечательно, что новая версия вируса не атакует объекты в странах СНГ, на Кубе, в Северной Корее и Китае.

Версии шифровальщика RansomHub для Linux и Windows написаны на Go, а новая версия ESXi — на C+. Отметим, что создание шифратора ESXi позволяет злоумышленникам увеличить базу потенциальных целей – группа может ориентироваться на растущее число предприятий, использующих виртуализированные среды.

Insikt Group обнаружила, что версия RansomHub для ESXi создает файл /tmp/app.pid, чтобы предотвратить запуск одновременно нескольких экземпляров. Специалисты также нашли уязвимость в коде: если файл содержит «-1», вредоносное ПО попытается завершить несуществующий процесс, что приведет к бесконечному циклу и остановит шифрование данных.

Темы:УгрозыInsiktвымогатели-как-услуга
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...