RansomHub: Угроза для критически важных секторов
Источник: www.picussecurity.com
Программа-вымогатель RansomHub, ранее известная как Cyclops и Knight, представляет собой серьезную угрозу для различных критически важных секторов, таких как здравоохранение, системы водоснабжения и транспорт. Используя модель двойного вымогательства, RansomHub не только шифрует данные, но и осуществляет их эксфильтрацию, требуя выкуп от своих жертв.
Цепочка заражения RansomHub
Цепочка заражения, инициированная RansomHub, строится по четкой схеме:
- Получение первоначального доступа через фишинговые атаки, уязвимости в интернет-приложениях и методы распыления паролей.
- Отключение механизмов защиты с помощью вредоносных скриптов, позволяющих злоумышленникам оставаться незамеченными.
- Использование инструментов сетевого сканирования, таких как AngryIPScanner и Nmap, для оценки сетевого ландшафта.
Уязвимости и эксплойты
RansomHub использует несколько общедоступных уязвимостей (CVE) для первоначального доступа. К числу известных уязвимостей относятся:
- CVE-2023-3519 и CVE-2023-27997 — удаленное выполнение кода на уязвимых системах;
- CVE-2017-0144 (EternalBlue) и CVE-2020-1472 (Zerologon) — старые, но все еще опасные уязвимости.
Эти эксплойты доступны на платформах вроде GitHub, что указывает на предпочтение злоумышленников использовать существующие инструменты вместо создания своих.
Методы эксфильтрации и шифрования данных
На этапе эксфильтрации конфиденциальные данные обрабатываются с помощью таких инструментов, как Rclone, и передаются по асимметричным протоколам. В качестве результата атак файлы надежно шифруются с использованием передовых алгоритмов, таких как Curve 25519, что делает их практически невозможными для расшифровки без соответствующих ключей, хранящихся на скомпрометированных серверах.
Тактики и методы маскировки
Чтобы избежать обнаружения, партнеры RansomHub используют различные тактические приемы, среди которых:
- Манипуляция настройками Windows;
- Выполнение запутанных сценариев PowerShell;
- Использование законных инструментов удаленного доступа, таких как AnyDesk и PsExec.
Эти методы позволяют замаскировать их действия под обычные административные функции, что затрудняет реакцию на инциденты.
Рекомендации по защите
Сложность функционирования RansomHub требует от организаций внедрения надежной многоуровневой защиты, включая:
- Обучение пользователей распознаванию фишинга;
- Своевременное внесение исправлений для снижения риска CVE;
- Поддержание хорошо структурированного плана реагирования на инциденты.
Регулярная проверка безопасности и адаптация к новым тактикам, предложенным на платформах типа Picus Security, становятся определяющими факторами для эффективной защиты критически важных активов организаций.
Принятие упреждающих мер и постоянное повышение уровня безопасности помогут снизить риски, связанные с RansomHub и аналогичными угрозами в мире программ-вымогателей.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
