Endişe verici bir şekilde büyüyen RansomHub fidye yazılımını içeren son saldırılarda, saldırganlar 2020’den itibaren Windows Netlogon Uzaktan Protokolündeki ZeroLogon kusuru olarak adlandırılan kusurdan yararlandı (CVE-2020-1472) mağdurun ortamına ilk erişimi sağlamak.
Fidye yazılımını dağıtmadan önce saldırganlar, Atera ve Splashtop gibi şirketlerin uzaktan erişim ürünleri ve NetScan’in ağ tarayıcıları da dahil olmak üzere birçok çift kullanımlı araç kullandı. Symantec Broadcom bu hafta bir raporda söyledi.
Symantec, “Uzaktan erişimi kolaylaştırmak için Atera ve Splashtop kullanıldı, NetScan ise muhtemelen ağ cihazları hakkında bilgi keşfetmek ve almak için kullanıldı” dedi. “RansomHub verisi, tüm Internet Information Services (IIS) hizmetlerini durdurmak için iisreset.exe ve iisrstas.exe komut satırı araçlarından yararlandı.”
Sıfır Oturum Açma Critical Start’ın kıdemli tehdit tespit mühendisi Adam Neel, bu durumun, bir saldırganın Netlogon Uzaktan Protokolü’nü kullanarak bir etki alanı denetleyicisine güvenlik açığı bulunan bir Netlogon güvenli kanal bağlantısı kurması durumunda ortaya çıkan bir ayrıcalık yükseltme durumunu içerdiğini söylüyor. “Kuruluşların, RansomHub’dan gelen saldırılara karşı korunmaya yardımcı olmak için bu güvenlik açığının yamanmasını ve azaltılmasını sağlaması çok önemli olacaktır.”
Fırsatçı Bir Tehdit Aktörü
RansomHub, Şubat ayında ilk kez ortaya çıktığından bu yana büyük ilgi toplayan bir hizmet olarak fidye yazılımı (RaaS) operasyonu ve kötü amaçlı yazılım tehdididir. Symantec şu anda onu, kurban olduğu iddia edilenler açısından Lockbit’ten sonra en üretken dördüncü fidye yazılımı olarak sıralıyor. yakın zamanda kaldırıldıPlay ve Qilin.
Tehdidi takip eden birçok güvenlik sağlayıcısından biri olan BlackFog, beş düzineden fazla kuruluşu listeledi RansomHub faaliyete geçtiği birkaç ay içinde mağdur oldu. Birçoğu daha küçük ve orta ölçekli firmalar gibi görünüyor, ancak birkaç tanınabilir isim de var, en önemlisi Christie’s Müzayede Evi ve Birleşik Sağlık Grubu yan kuruluşu Change Healthcare.
Symantec’in tehdit avcısı ekibinin baş istihbarat analisti Dick O’Brien, grubun son üç ayda kamuya açık olarak 61 kurban olduğunu iddia ettiğini söylüyor. Bu rakamın Lockbit’in 489 kurbanıyla, Play grubunun 101 kurbanıyla ve Qilin’in 92 kurbanıyla karşılaştırıldığını söylüyor.
RansomHub, fidye yazılımı önde gelenleri Lockbit ve kolluk kuvvetlerinin son dönemde ele geçirmesinin ardından ortaya çıkan küçük bir RaaS operatörleri grubu arasında yer alıyor. ALPHV/BlackCat. Grup, yayından kaldırmaların neden olduğu belirsizlik ve güvensizliğin bir kısmından yararlanmaya çalıştı. RaaS’ına yeni bağlı kuruluşları çekmek. Taktiklerinden biri, bağlı kuruluşlara doğrudan kurbanlardan fidye toplama ve ardından RansomHub’a %10’luk bir kesinti ödeme olanağı sunmaktır. Bu, RaaS operatörünün kurbanlardan fidye ödemeleri topladığı ve daha sonra bağlı kuruluşa bir kesinti ödediği olağan modelden çok farklı.
Kapsamlı Kod Knight Ransomware ile Çakışıyor
Symantec’e göre, RansomHub ile Knight adlı daha eski ve artık geçerliliğini yitirmiş bir fidye yazılımı ailesi arasında birkaç kod çakışması var. Kod çakışmaları o kadar kapsamlı ki iki tehdidi birbirinden ayırmak çok zor. Her iki veri de Go programlama dilinde yazılmıştır ve aynı karmaşıklaştırıcıyı (Gobfuscate) kullanır. Her ikisinin de neredeyse aynı yardım menüleri vardır; önemli kod dizelerini tamamen aynı şekilde kodlarlar ve bunları çalışma zamanında çözerler; şifrelemeden önce hedef uç noktayı güvenli modda yeniden başlatabilirler ve aynı komut yürütme akışına sahip olabilirler. Symantec, Knight ve RansomHub ile ilgili fidye notunun bile neredeyse aynı olduğunu, Knight’ın birçok ifadesinin RansomHub’da kelimesi kelimesine göründüğünü söyledi.
“[However]Symantec, “Ortak kökenlere rağmen, Knight’ın yaratıcılarının şu anda RansomHub’u işletmesi pek mümkün değil” dedi. Bunun yerine, RansomHub operatörleri, Knight kaynak kodunu bu yılın başlarında satışa sunduğunda Knight kaynak kodunu satın aldılar ve şimdi onu yeniden kullanıyorlar. Güvenlik satıcısı, “İki fidye yazılımı ailesi arasındaki temel farklardan biri, cmd.exe aracılığıyla çalıştırılan komutlardır” dedi ve ekledi: “Bu komutlar, yük oluşturulduğunda veya yapılandırma sırasında yapılandırılabilir.”
Symantec’in RansomHub’ın Knight kodunu temel aldığını keşfetmesinin kurbanlar veya grubun hedeflediği diğer kişiler açısından pek bir fark yaratması pek olası değil. Ancak grup ve TTP’leri hakkında ek bir bilgi katmanı sunuyor.
Neel, “Grup hızla büyüyor ve 2024’ün en üretken fidye yazılımı gruplarından biri olma yolunda ilerliyor” diyor. “Ayrıca, son zamanlardaki başarıları ve kötü şöhretleri nedeniyle Blackcat/ALPHV fidye yazılımı grubunun eski üyelerini de bünyesine katabildiklerini belirtmekte fayda var. Bu, onların yeteneklerini daha da geliştirmek için bu grup tarafından kullanılan bilgi ve araçlardan yararlanmalarına olanak tanıyor. ” diye belirtiyor.