Ransomhub fidye yazılımları (RAAS) programının arkasındaki tehdit aktörleri, Microsoft Active Directory’deki şimdi paketlenmiş güvenlik kusurlarından yararlanarak ve Netlogon protokolünü, ayrıcalıkları artırmak ve bir kurban ağının Domain Controller’a bir parçası olarak yetkisiz erişim elde etmek için gözlemlenmiştir. onların gelişim sonrası stratejileri.
Grup-IB analistleri, bu hafta yayınlanan kapsamlı bir raporda, “Ransomhub, sağlık, finans, hükümet ve kritik altyapı gibi sektörleri kapsayan 600’den fazla kuruluşu hedefledi.”
Fidye yazılımı grubu ilk olarak Şubat 2024’te ortaya çıktı ve operasyonlarını hızlandırmak için rampa siber suçlarından şimdi yok olan Şövalye (eski adıyla Cyclops) Raas Gang ile ilişkili kaynak kodu aldı. Yaklaşık beş ay sonra, SFTP protokolü aracılığıyla verileri uzaktan şifreleme yeteneklerine sahip olan Yasadışı pazarında dolabın güncellenmiş bir sürümü ilan edildi.
Windows, VMware ESXI ve SFTP sunucularında dosyaları şifreleyebilen birden fazla varyantta gelir. Ransomhub ayrıca, bir ortaklık programının bir parçası olarak Lockbit ve Blackcat gruplarından bağlı kuruluşları aktif olarak işe alarak, rakiplerini hedefleyen kolluk eylemlerinden yararlanma girişimini göstermiştir.
Singapurlu siber güvenlik şirketi tarafından analiz edilen olayda, tehdit oyuncusunun halka açık bir konsept kanıtı kullanarak Palo Alto Networks Pan-OS cihazlarını (CVE-2024-3400) etkileyen kritik bir kusurdan yararlanmaya çalıştığı söyleniyor ( ), nihayetinde kurban ağını VPN hizmetine karşı kaba bir saldırı yoluyla ihlal etmeden önce.
Araştırmacılar, “Bu kaba kuvvet denemesi, 5.000’den fazla kullanıcı adı ve şifreden oluşan zenginleştirilmiş bir sözlüğe dayanıyordu.” Dedi. “Saldırgan sonunda veri yedekleme çözümlerinde sıkça kullanılan varsayılan bir hesap aracılığıyla erişim elde etti ve çevre nihayet ihlal edildi.”
İlk erişim, daha sonra fidye yazılımı saldırısını gerçekleştirmek için istismar edildi, hem veri şifrelemesi hem de uzlaşmadan itibaren 24 saat içinde ortaya çıkan eksfiltrasyon.
Özellikle, Active Directory’de (CVE-2021-42278 AKA NOPAC) ve Netlogon protokolünde (CVE-2020-1472 AKA Zerologon) alan kontrolörünün kontrolünü ele geçirmek ve ağ boyunca yan hareket yürütmek için bilinen iki güvenlik kusurunun silahlandırılmasını içeriyordu. .
Araştırmacılar, “Yukarıda belirtilen güvenlik açıklarının sömürülmesi, saldırganın Microsoft Windows tabanlı bir altyapının sinir merkezi olan alan denetleyicisine tam ayrıcalıklı erişim elde etmesini sağladı.” Dedi.
“Sunum işlemlerinin tamamlanmasının ardından saldırgan, saldırının son aşaması için çevreyi hazırladı. Saldırgan, çeşitli NAS’a kaydedilen, tamamen okunamayan ve erişilemez ve geri yüklemeye izin verilmeyen tüm şirket verilerini işledi. Mağduru verilerini geri almaya fidye ödemeye zorlamak. “
Saldırının bir diğer dikkate değer yönü, son nokta güvenlik çözümlerini durdurmak ve atlamak için PCHUNTER kullanılması ve veri açığa çıkması için FileZilla’nın kullanılmasıdır.
Araştırmacılar, “Ransomhub grubunun kökenleri, saldırgan operasyonları ve diğer gruplarla örtüşen özellikleri canlı bir siber suç ekosisteminin varlığını doğrulamaktadır.” Dedi.
Diyerek şöyle devam etti: “Bu ortam, yüksek profilli kurbanların, rezil grupların ve önemli miktarda paranın merkezi rol oynadığı sağlam bir yeraltı pazarını körükleyerek, araçların ve kaynak kodlarının paylaşımına, yeniden markalanmasına ve yeniden markalanmasına dayanıyor.”
Geliştirme, siber güvenlik firması, Lynx olarak bilinen bir “müthiş Raas operatörünün” iç işleyişini detaylandırarak, bağlı kuruluş iş akışlarına ışık tutuyor, pencereler için çapraz fidye yazılımı cephaneliği ve ESXI ortamları ve özelleştirilebilir şifreleme modları.
Fidye yazılımlarının Windows ve Linux sürümlerinin bir analizi, tehdit aktörlerinin muhtemelen ikincisinin kaynak kodunu edindiğini gösterir.
“İştirakler, rekabetçi, işe alım odaklı bir stratejiyi yansıtan% 80 fidye geliri ile teşvik ediliyor.” Dedi. “Lynx kısa süre önce birden fazla şifreleme modu ekledi: ‘hızlı,’ ‘orta,’ ‘yavaş’ ve ‘bütün’, bağlı kuruluşlara dosya şifrelemesinin hızı ve derinliği arasındaki değişimi ayarlama özgürlüğünü vermek.”
“Grubun yeraltı forumlarındaki işe alım görevleri, Lynx’in operasyonel güvenlik ve kalite kontrolüne olan vurgusunu vurgulayarak, pentesterler ve yetenekli saldırı ekipleri için katı bir doğrulama sürecini vurgular. Ayrıca, sürekli olarak taciz kurbanları ve gelişmiş depolama çözümleri için ‘çağrı merkezleri’ sunarlar. sonuçlar.”
Son haftalarda, finansal olarak motive edilmiş saldırılar, lockbit fidye yazılımlarını sunmak için kimlik avı e -postaları aracılığıyla yayılan Phorpiex (diğer adıyla Trik) Botnet kötü amaçlı yazılım kullanılarak gözlenmiştir.
Cybereason bir analizde, “Geçmiş Lockbit fidye yazılımı olaylarından farklı olarak, tehdit aktörleri Lockbit fidye yazılımını sunmak ve yürütmek için Phorpiex’e güveniyordu.” “Bu teknik, fidye yazılımı dağıtımının genellikle saldırıyı yapan insan operatörlerinden oluştuğu için benzersizdir.”
Bir başka önemli başlangıç enfeksiyon vektörü, iç ağ cihazlarına ve ana bilgisayarlarına erişmek ve sonuçta Abyss Locker fidye yazılımlarını dağıtmak için eşleştirilmemiş VPN aletlerinin (örn. CVE-2021-20038) sömürülmesi ile ilgilidir.
Saldırılar ayrıca kalıcılığı korumak için tünelleme araçlarının kullanılması ve uç nokta koruma kontrollerini devre dışı bırakmak için kendi savunmasız sürücü (BYOVD) tekniklerinizi getirme ile karakterize edilir.
Sygnia araştırmacıları, “Çevreye erişim sağladıktan ve keşif yaptıktan sonra, bu tünelleme araçları, ESXI ana bilgisayarları, Windows ana bilgisayarları, VPN aletleri ve ağ ekli depolama (NAS) cihazları dahil olmak üzere kritik ağ cihazlarına stratejik olarak dağıtılmaktadır.” Dedi.
“Bu cihazları hedefleyerek, saldırganlar erişimi sürdürmek ve kötü niyetli faaliyetlerini tehlikeye atılan ağ üzerinden düzenlemek için sağlam ve güvenilir iletişim kanalları sağlar.”
Yeni ve eski tehdit aktörleri tarafından yönetilen fidye yazılımı manzarası, bir akı durumunda kalmaya devam ediyor, geleneksel şifrelemeden veri hırsızlığı ve gasplara dönüyor, mağdurlar giderek daha fazla ödeme yapmayı reddetti ve 2024’teki ödemelerde düşüşe yol açıyor .
Siber güvenlik firması Huntress, “Ransomhub ve Akira gibi gruplar artık çalınan verileri büyük ödüllerle teşvik ederek bu taktikleri oldukça kazançlı hale getiriyor.” Dedi.