СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
05.02.2025
#ИБ#Инфра#Облака

Угрозы RansomHub: Как ShadowSyndicate атакует клиентские сети

Угрозы RansomHub: Как ShadowSyndicate атакует клиентские сети

В период с сентября по октябрь 2024 года несколько клиентских сетей стали жертвами атак RansomHub, связанных с хакерской группой ShadowSyndicate, известной также как Infra Storm. Хакеры применяют агрессивные методы и инструменты, что делает их высокоэффективными и опасными.

Краткий обзор ShadowSyndicate

Компания ShadowSyndicate, действующая с июля 2022 года, установила сотрудничество с различными группами-вымогателями, среди которых выделяются Quantum и ALPHV. Для осуществления своих атак они используют такие инструменты, как Cobalt Strike, IcedID и вредоносное ПО Matanbuchus.

Технические аспекты атак

Хакеры используют идентифицируемый отпечаток SSH на множестве серверов. По состоянию на сентябрь 2023 года было зарегистрировано 85 серверов, из которых как минимум 52 были связаны с инфраструктурой командования и контроля Cobalt Strike (C2).

Подъем RansomHub на рынке программ-вымогателей

RansomHub стал значимым игроком на рынке после ликвидации ALPHV ФБР в декабре 2023 года. Ситуация обострилась после исчезновения группы LockBit в феврале 2024 года, что дало RansomHub возможность быстро расширить свои ряды.

Аналитики отмечают:

  • Агрессивная тактика вербовки на подпольных форумах;
  • Свыше 500 сообщений о жертвах с февраля 2024 года;
  • Привлекательная модель распределения выкупа — 90% от суммы выкупа для аффилированных лиц.

Методы вымогательства

В ходе атак RansomHub хакеры использовали тактику двойного вымогательства, угрожая утечкой конфиденциальной информации. Уведомления о выкупе часто имеют формат «README_a-zA-Z0-9{6}.txt».

Пересылка данных осуществлялась через SSH и использовала облачные сервисы, такие как MEGA, с передачей файлов при помощи WinSCP.

Характеристика атак и их последствия

Методология атак включала:

  • Первоначальную разведку через сканирование открытых портов (22, 445 и 3389);
  • Установление связи C2;
  • Боковое перемещение по сетям;
  • Использование скриптов для избежания обнаружения.

Рекомендации и выводы

Расследование компании Darktrace выявило достоверные признаки компрометации и различные этапы кибератак. Отсутствие проактивной защиты выявило уязвимости в сетях клиентов.

С ростом числа программ-вымогателей как услуг (RaaS) безопасность становится еще более проблематичной. Требуются:

  • Своевременное реагирование на инциденты;
  • Развитие систем обнаружения аномалий.

Ситуация требует внимания со стороны служб безопасности, чтобы предотвратить возможные последствия, вызванные оппортунистическими атаками.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: