RansomHub: Новая угроза в мире программ-вымогателей
Источник: www.group-ib.com
RansomHub — это группа, занимающаяся разработкой программ-вымогателей как услуг (RaaS), которая быстро завоевала популярность на рынке киберпреступности. Особенно заметным этот игрок стал после приобретения исходного кода у более ранних групп, таких как Knight (ранее Cyclops). В статье рассматриваем ключевые аспекты работы RansomHub и его влияние на текущую киберугрозу.
Мультиплатформенные возможности
Одной из отличительных черт RansomHub является использование мультиплатформенного программного обеспечения-вымогателя, совместимого с:
- Windows
- Linux
- FreeBSD
- ESXi
Эта программа способна шифровать данные на различных архитектурах, включая x86, x64 и ARM. Функциональность RansomHub позволяет работать как с локальными файловыми системами, так и с удалёнными файлами через общие сетевые ресурсы, используя SMB и SFTP.
Стратегия партнерства
Одним из ключевых аспектов операционной модели RansomHub является его стратегия привлечения партнеров. Группа привлекает членов из других известных групп вымогателей, таких как Lockbit и ALPHV, находящихся под давлением правоохранительных органов.
Аффилированные лица получают необычно низкую комиссию в размере 10% от суммы выкупа, что резко контрастирует со стандартной комиссией в размере 20-30% в других операциях. Партнерская панель предлагает:
- Исчерпывающие руководства по методам вымогательства и переговорам;
- Функции, общие для платформ RaaS, адаптированные для повышения удобства использования.
Технические возможности
Программа-вымогатель имеет расширенные возможности для обхода средств безопасности. Ранее использовавшийся модуль «Убийца» был разработан для прерывания процессов безопасности, однако из-за высокой частоты обнаружения эта функциональность была прекращена. Сейчас аффилированные лица используют законные инструменты, такие как TDSSKiller и SentinelCleaner.
Универсальность и защита
RansomHub также применяет методы удаления системных резервных копий и использует учетные данные жертвы для шифрования сетевых ресурсов, что значительно снижает шансы на восстановление данных для целей. Партнерская панель содержит:
- Инструкции по развертыванию программ-вымогателей с помощью группы политик Windows Active Directory (GPO), что упрощает автоматическое выполнение на скомпрометированных системах;
- Четкие руководящие принципы, запрещающие нацеливание на государственные структуры.
Будущее RansomHub и конкурентная среда
Недавние обсуждения в кругах аналитиков угроз указывают на возможную миграцию партнеров RansomHub в Qilin — конкурирующую группу программ-вымогателей. Это связано с простоем RansomHub, который начался 1 апреля 2025 года.
Проблемы, с которыми столкнулась группа, а также увеличение раскрытия информации компанией Qilin, позволяют предположить, что разрозненные филиалы могут объединяться в рамках Qilin. Таким образом, наблюдается дублирование тактик, методов и процедур (TTP) среди групп, что требует от защитников разработки эффективных стратегий обнаружения и защиты.
Выводы
RansomHub демонстрирует динамику группы программ-вымогателей и подчеркивает необходимость постоянной бдительности в сфере кибербезопасности. Понимание процессов, происходящих в таких организациях, критически важно для защиты от растущих угроз со стороны RaaS.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
