Kazançlı iş modeli ve Hizmet Olarak Fidye Yazılımını (RaaS) çalıştırmanın basitliği, hızlı gelişimi ve benimsenmeyi teşvik ediyor.
Tehdit aktörleri, girişteki teknik engelleri ortadan kaldırdığı ve bunun yerine hazır fidye yazılımı araçları ve altyapısı sunduğu için RaaS’ı tercih ediyor.
Bu, teknik açıdan daha az beceriye sahip aktörlerin ortaya çıkmasına neden oldu; öyle ki, onlar bile karmaşık saldırılar gerçekleştirebiliyor ve fidye yazılımı kampanyalarının yaygınlığı ve kârlılığı artıyor.
Symantec’teki siber güvenlik analistleri yakın zamanda RansomHub Raas’ın faaliyet gösteren en büyük fidye yazılımı grubu olarak ortaya çıktığını tespit etti.
RansomHub Raas
Eski Knight fidye yazılımı operasyonunun güncellenmiş ve yeniden markalanmış bir versiyonu olan RansomHub, en büyük aktif Hizmet Olarak Fidye Yazılımı (RaaS) gruplarından biridir.
Symantec’in analizi, RansomHub ve Knight’ın yükü arasındaki önemli kod benzerliklerini ortaya koyuyor; bu, Knight’ın yeni grup için bir tür temel olduğunu gösteriyor.
Ancak, mağazayı kapatmadan önce Şubat 2024’te kaynak kodunu halka açık hale getirdikleri için, başlangıçta Knight’ı yaratanların da RansomHub’un arkasında olması pek mümkün görünmüyor.
With ANYRUN You can Analyze any URL, Files & Email for Malicious Activity : Start your Analysis
Yeni aktörler büyük olasılıkla RansomHub’u, RaaS kampanyalarını farklı bir marka adıyla başlatmak için sızdırılan bu kod tabanını alıp değiştirdikten sonra kurdular.
Knight ve RansomHub kötü amaçlı yazılım aileleri, Go’da yazılmış benzer türde kaynak kodlarına sahiptir ve uygulama, gizlenmemiş Knight’ın yalnızca başlangıç formlarına sahiptir.
Önemli oranda örtüşen kod nedeniyle iki aileyi birbirinden ayırmak son derece zordur; bazen onay için numuneye yerleştirilmiş veri sızıntısı sitesi bağlantısını ziyaret etmek gerekir.
Hem RansomHub hem de EDA2’nin komut satırı seçenekleri, neredeyse aynı olan bir yardım seçeneği arayüzü sağlar.
Tek fark RansomHub’un yardım menüsündeki “uyku” komutudur.
.webp)
Bu, yüksek miktarda kodun yeniden kullanıldığını doğruluyor ve bu da RansomHub’ın, kodda bazı değişiklikler yapılarak Knight fidye yazılımı temel alınarak geliştirilmiş olabileceği sonucuna güçlü bir şekilde işaret ediyor.
RansomHub ve Knight, dize gizleme için farklı teknikler kullanıyor, ancak fidye notlarındaki benzerlikler, RansomHub’un Knight’ın orijinal metnini güncellediğini gösteriyor.
.webp)
İki cmd.exe komutunun yürütme sırası benzerdir.
Aslında kurbanlar, daha önce Go dilini ve kod tabanının yeteneklerini paylaşan Snatch fidye yazılımı tarafından kullanılan bir özellik olan şifrelemeden önce güvenli modda yeniden başlatılıyor.
Bu, ortak bir geleneksel kaynağı ima edebilir. Ayrıca RansomHub’ın konfigürasyon depolama yaklaşımı, Noberus’un farklı ailelere ait olan JSON tabanlı yöntemine benzemektedir.
Dolayısıyla, bu önemli kod örtüşmeleri, teknikler ve nota benzerlikleri, RansomHub’un Knight’ın kod tabanını temel olarak yeniden kullanarak türetildiğini kanıtlıyor.
Şubat 2024 itibarıyla RansomHub, üç ay içinde öne çıkan fidye yazılımı operatörleri arasında dördüncü sıraya yerleşti.
.webp)
Büyümesi, Notchy gibi eski Noberus ortaklarını cezbetmesinden ve Scattered Spider’ın sahip olduğu araçları kullanmasından kaynaklandı.
Ekibin hızlı bir şekilde oluşturulması, deneyimli operatörlerin yeraltı dünyasıyla temas halinde olmasını gerektirir.
IOC’ler
.webp)
Looking for Full Data Breach Protection? Try Cynet's All-in-One Cybersecurity Platform for MSPs: Try Free Demo