Проблема RansomHub: угроза кибербезопасности 2024 года

В 2024 году появилась новая угроза в области кибербезопасности — хакерская группа RansomHub, активность которой возросла с мая. Этот инцидент стал серьёзным вызовом для команды Arete по реагированию на инциденты, которая выявила, что RansomHub стал одним из трех крупнейших хакеров к июлю 2024 года.
Целевые секторы и известные жертвы
Группа RansomHub нацелилась на разнообразные сектора, включая:
- Профессиональные услуги
- Государственные услуги
- Здравоохранение
- Высокие технологии
- Финансовые услуги
- Производство
Среди известных жертв выделяются крупные компании, такие как Frontier и аукционный дом Christie’s. Группа также утверждала, что смогла steal данные у Change Healthcare, ставшей жертвой атаки с использованием ALPHV/BlackCat.
Тактика RansomHub и используемые технологии
RansomHub предложил свою программу-вымогатель как услугу (RaaS), распространяя универсальный шифратор, написанный на C++ и Go, что позволяет использовать его на разных операционных системах. По предположениям, группа является ребрендингом хакерской группы Knight, выделяясь схожими шифровальщиками.
По данным Arete, средние первоначальные требования выкупа составляют 900 000 долларов, в то время как средние выплаты — 350 000 долларов. Для атак использовались различные инструменты:
- SocGholish
- Cobalt Strike
- Mimikatz
Кроме того, существо RansomHub использовало уязвимости в таких технологиях, как:
- Apache ActiveMQ
- Atlassian Confluence
- Fortinet FortiOS
Методы атаки и угроза утечки данных
Группа использовала сайт для утечки данных под брендом RansomHub, угрожая жертвам раскрытием данных в случае отказа от платежа. Программа-вымогатель зашифровывала файлы, используя расшифрованный открытый ключ Curve 25519 и алгоритмы AES, добавляя уникальное расширение к файлам.
В записке с требованием выкупа указывались сведенія о группе, ссылки на сайты утечек и правила именования. RansomHub применяет двойную модель вымогательства, которая включает утечку данных и системное шифрование, используя как версии для Windows, так и для Linux.
Рекомендации Arete по укреплению кибербезопасности
Arete рекомендует организациям следующие меры по защите от подобных угроз:
- Использование решения EDR для остановки процессов и изоляции систем.
- Блокировка команд и средств управления злоумышленниками в брандмауэрах.
- Внедрение многофакторной аутентификации и регулярное обновление систем.
- Мониторинг сетевой активности на предмет подозрительного поведения и проведение тестов на проникновение.
- Отслеживание загрузки данных и ограничение доступа по протоколу RDP.
- Мониторинг темного интернета для предотвращения продажи данных на черных рынках.
Забота о кибербезопасности должна основываться на комплексной стратегии, включающей упреждающий мониторинг, надежную защиту, регулярные обновления и тщательный анализ данных об угрозах.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



