Проблема RansomHub: угроза кибербезопасности 2024 года

Проблема RansomHub: угроза кибербезопасности 2024 года

В 2024 году появилась новая угроза в области кибербезопасности — хакерская группа RansomHub, активность которой возросла с мая. Этот инцидент стал серьёзным вызовом для команды Arete по реагированию на инциденты, которая выявила, что RansomHub стал одним из трех крупнейших хакеров к июлю 2024 года.

Целевые секторы и известные жертвы

Группа RansomHub нацелилась на разнообразные сектора, включая:

  • Профессиональные услуги
  • Государственные услуги
  • Здравоохранение
  • Высокие технологии
  • Финансовые услуги
  • Производство

Среди известных жертв выделяются крупные компании, такие как Frontier и аукционный дом Christie’s. Группа также утверждала, что смогла steal данные у Change Healthcare, ставшей жертвой атаки с использованием ALPHV/BlackCat.

Тактика RansomHub и используемые технологии

RansomHub предложил свою программу-вымогатель как услугу (RaaS), распространяя универсальный шифратор, написанный на C++ и Go, что позволяет использовать его на разных операционных системах. По предположениям, группа является ребрендингом хакерской группы Knight, выделяясь схожими шифровальщиками.

По данным Arete, средние первоначальные требования выкупа составляют 900 000 долларов, в то время как средние выплаты — 350 000 долларов. Для атак использовались различные инструменты:

  • SocGholish
  • Cobalt Strike
  • Mimikatz

Кроме того, существо RansomHub использовало уязвимости в таких технологиях, как:

  • Apache ActiveMQ
  • Atlassian Confluence
  • Fortinet FortiOS

Методы атаки и угроза утечки данных

Группа использовала сайт для утечки данных под брендом RansomHub, угрожая жертвам раскрытием данных в случае отказа от платежа. Программа-вымогатель зашифровывала файлы, используя расшифрованный открытый ключ Curve 25519 и алгоритмы AES, добавляя уникальное расширение к файлам.

В записке с требованием выкупа указывались сведенія о группе, ссылки на сайты утечек и правила именования. RansomHub применяет двойную модель вымогательства, которая включает утечку данных и системное шифрование, используя как версии для Windows, так и для Linux.

Рекомендации Arete по укреплению кибербезопасности

Arete рекомендует организациям следующие меры по защите от подобных угроз:

  • Использование решения EDR для остановки процессов и изоляции систем.
  • Блокировка команд и средств управления злоумышленниками в брандмауэрах.
  • Внедрение многофакторной аутентификации и регулярное обновление систем.
  • Мониторинг сетевой активности на предмет подозрительного поведения и проведение тестов на проникновение.
  • Отслеживание загрузки данных и ограничение доступа по протоколу RDP.
  • Мониторинг темного интернета для предотвращения продажи данных на черных рынках.

Забота о кибербезопасности должна основываться на комплексной стратегии, включающей упреждающий мониторинг, надежную защиту, регулярные обновления и тщательный анализ данных об угрозах.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: