В 2024 году на киберпреступной сцене стремительно появился новый игрок — группировка RansomHub, которая успела атаковать уже более 600 организаций по всему миру. По данным исследования Group-IB, группа RansomHub заполнила вымогательскую нишу после недавних нарушений в деятельности ALPHV и LockBit, пишет Securitylab.
Эксперты отмечают, что RansomHub действует в формате ransomware-as-a-service (RaaS), активно привлекая партнёров на подпольных форумах, таких как RAMP. Основной стратегией стало переманивание хакеров, ранее работавших на другие группировки, что позволило RansomHub быстро нарастить масштабы атак.
Анализ кода вредоноса показал, что группировка, вероятно, приобрела своё программное обеспечение у Knight (Cyclops), другой известной киберпреступной организации. Использование готовых решений ускорило развёртывание атак, а мультиплатформенность программы позволяет шифровать системы на Windows, ESXi, Linux и FreeBSD, расширяя список потенциальных жертв.
RansomHub отличается высокой степенью организованности. Группировка использует как проверенные техники взлома — атаки на VPN-сервисы и подбор паролей, так и сложные методы, включая эксплуатацию уязвимостей нулевого дня. В арсенале атакующих — инструменты вроде PCHunter, позволяющие обходить средства защиты.
Тактика атак включает тщательное исследование сети жертвы и захват наиболее ценных данных. Операторы проникают в инфраструктуру, получают контроль над критическими узлами — файловыми хранилищами, резервными копиями, серверами — и переносят конфиденциальные сведения на удалённые серверы. Для передачи информации преступники используют Filezilla, а затем запускают процесс шифрования на скомпрометированных хостах.
После завершения атаки RansomHub шантажирует жертву, требуя выкуп за расшифровку и непубликацию данных. Программа-вымогатель способна останавливать виртуальные машины, уничтожать теневые копии файлов и зачищать журналы событий, затрудняя расследование инцидента.
Одной из наиболее разрушительных атак RansomHub стала операция, проведённая всего за 14 часов. Преступники использовали уязвимость в межсетевом экране Palo Alto (CVE-2024-3400) для первичного доступа, затем применили брутфорс учётных данных от VPN-клиента. После этого атакующие эксплуатировали старые бреши в Windows (CVE-2021-42278 и CVE-2020-1472), получая полный контроль над сетью.
Эксперты подчёркивают, что столь эффективная деятельность RansomHub стала возможной из-за несвоевременного обновления операционных систем. Если та или иная компания становится жертвой атаки через уязвимость, закрытую несколько лет назад, то виновато в этом исключительно её собственное халатное отношение к кибербезопасности. В данном случае глупо перекладывать ответственность на поставщиков программного обеспечения.
Растущая активность RansomHub свидетельствует о продолжающейся эволюции киберугроз. Организации должны усиливать свою защиту, регулярно обновлять программное обеспечение и минимизировать поверхность атаки, чтобы не попасть в список жертв RansomHub и прочих вымогательских группировок.