Şubat 2024’te ortaya çıkmasından bu yana RansomHub fidye yazılımı iştirakleri, çok çeşitli kritik ABD altyapı sektörlerinden 200’den fazla kurbanın verilerini ihlal etti.
Bu nispeten yeni fidye yazılımı hizmeti (RaaS) operasyonu, çalınan dosyaları sızdırmamaları karşılığında kurbanlardan gasp alır ve müzakereler başarısız olursa belgeleri en yüksek teklifi verene satar. Fidye yazılımı grubu, kurbanların dosyalarını şifrelemek yerine veri hırsızlığına dayalı gasplara odaklanır, ancak Knight fidye yazılımı kaynak kodunun potansiyel alıcıları olarak da tanımlandılar.
Yılın başından bu yana RansomHub, Amerikan kar amacı gütmeyen kredi birliği Patelco, Rite Aid eczane zinciri, Christie’s müzayede evi ve ABD telekom sağlayıcısı Frontier Communications’ın verilerini ihlal etme sorumluluğunu üstlendi. Frontier Communications daha sonra 750.000’den fazla müşteriye kişisel bilgilerinin bir veri ihlalinde ifşa olduğu konusunda uyarıda bulundu.
FBI, CISA, Çok Eyaletli Bilgi Paylaşımı ve Analiz Merkezi (MS-ISAC) ve Sağlık ve İnsan Hizmetleri Bakanlığı’nın (HHS) bugün yayınladığı ortak bir bildiride, tehdit aktörlerinin kurbanlarını çift gasp saldırılarıyla hedef aldıkları doğrulandı.
Federal kurumlar, RansomHub’ın (eski adıyla Cyclops ve Knight) “etkin ve başarılı bir hizmet modeli olarak kendini kanıtladığını (son zamanlarda LockBit ve ALPHV gibi diğer önemli varyantlardan yüksek profilli iştirakler çekmeyi başardığını)” söyledi.
“Şubat 2024’teki kuruluşundan bu yana RansomHub, su ve atık su, bilgi teknolojisi, kamu hizmetleri ve tesisleri, sağlık ve halk sağlığı, acil servisler, gıda ve tarım, finansal hizmetler, ticari tesisler, kritik üretim, ulaşım ve iletişim kritik altyapı sektörlerini temsil eden en az 210 mağdurdan veri şifreledi ve sızdırdı” denildi.
Dört yazılım kuruluşu, RansomHub fidye yazılımı saldırılarının riskini ve etkisini azaltmak için ağ savunucularına bugünkü duyuruda yer alan önerileri uygulamaları tavsiyesinde bulundu.
Vahşi doğada zaten istismar edilen güvenlik açıklarını düzeltmeye odaklanmalı ve webmail, VPN ve kritik sistemlere bağlı hesaplar için güçlü parolalar ve çok faktörlü kimlik doğrulama (MFA) kullanmalıdırlar. Ayrıca, yazılımı güncel tutmanız ve güvenlik protokollerinin standart bir parçası olarak güvenlik açığı değerlendirmeleri yapmanız önerilir.
Dört kurum ayrıca, FBI soruşturmaları sırasında en son Ağustos 2024’te tespit edilen RansomHub tehlike göstergeleri (IOC’ler) ve bağlı kuruluşlarının taktikleri, teknikleri ve prosedürleri (TTP’ler) hakkında bilgi sağlıyor.
Federal kurumlar, “Yazar kuruluşlar fidye ödemeyi teşvik etmiyor, çünkü ödeme mağdur dosyalarının kurtarılacağını garanti etmiyor” diye ekledi.
“Ayrıca, ödeme saldırganları başka örgütleri hedef almaya, diğer suç aktörlerini fidye yazılımı dağıtımına katılmaya ve/veya yasadışı faaliyetleri finanse etmeye teşvik edebilir.”