Ransomhub, Windows, ESXI, Linux ve FreeBSD İşletim Sistemlerine Saldırışlar


Ransomhub, Windows, ESXI, Linux ve FreeBSD İşletim Sistemlerine Saldırışlar

Ransomhub fidye yazılımı grubu hızla 2024-2025’in en üretken siber suçlarından biri olarak ortaya çıktı.

Bu fidye yazılımı grubu, küresel saldırılarda cephaneliğini Windows, VMware ESXI, Linux ve FreeBSD sistemlerini hedeflemek için genişleterek yapılır.

Ransomhub Fidye Yazılımı Grubu, kurumsal altyapıdaki gelişmiş kaçırma tekniklerinden, platformlar arası şifrelemeden ve güvenlik açıklarından yararlanır.

Grup-IB analistleri, grubun sağlık, finans ve kritik altyapı sektörleri de dahil olmak üzere 600’den fazla kuruluşu tehlikeye attığını keşfetti.

Multi-OS şifreleme özellikleri

RansomHub’ın fidye yazılımı varyantları, benzersiz komut satırı argümanları ve platform başına şifreleme yöntemlerine sahip çeşitli ortamlar için uyarlanmıştır.

powershell RansomHub.exe -pass -fast -disable-net -skip-vm "VM1"

Çalışma zamanında şifre çözülmüş bir JSON yapılandırma dosyası, beyaz liste dizinleri belirtir, süreçler/hizmetler için listeleri öldürür ve yanal hareket için kimlik bilgileri.

ESXI şifrelemesi (C ++ tabanlı) sanal makineleri kullanarak bozar vim-cmd Komutlar ve Şifreleme VM dosyaları (.vmdk.vmx) ile Chacha20 Ve Curve25519 algoritmalar.

Kusurlu /tmp/app.pid Kontrol, savunucuların yazarak şifrelemeyi önlemelerini sağlar -1 Dosyaya, sonsuz bir döngüyü zorlamak.

c // Code snippet from ESXi encryptor if (access("/tmp/app.pid", F_OK) == 0) { pid_t pid = read_pid(); if (kill(pid, 0) == 0) { kill(pid, SIGKILL); exit(0); } }

Linux varyantı aralıklı şifreleme (1 MB parçalar) kullanır ve gibi hizmetleri sonlandırır syslog tespiti engellemek için.

FreeBSD versiyonu, Ransom.FreeBSD.INTERLOCK.THJBBBDkritik dizinlerden kaçınır (/boot/etc) ve ekler .interlock dosyalara.

Ransomhub iştirakleri, ilk erişim için CVE-2024-3400 (Palo Alto Güvenlik Duvarları) ve CVE-2021-42278/CVE-2020-1472 (Active Directory) gibi güvenlik açıklarından yararlanır.

Palo Alto (Kaynak-Grup-IB) tarafından yayınlanan güvenlik danışmanlığı alıntı

Arabaşlık sonrası, konuşlandırırlar:-

  • Pchunter: EDR işlemlerini sona erdirir ve günlükleri siler.
  • Filezilla: Verileri C2 sunucularına ekler.
  • Byovd saldırıları: Savunmasız sürücüler kullanın (POORTRY.sys) Güvenlik araçlarını devre dışı bırakmak için.

Geçersiz Şövalye Fidye Yazılımından edinilen RansomHub’ın bağlı kuruluşu paneli, özelleştirilebilir fidye notları ve sızıntı alanı entegrasyonlarını sağlar.

Fidye Yazılımı Yapılandırma Dosyası (Kaynak-Grup-IB)

Grup, kurbanları düzenleyici raporlama (PDPL ihlalleri) ile baskı ödemelerine tehdit ediyor.

json // Decrypted configuration snippet { "master_public_key": "a1b2c3...", "extension": ".6706c3", "note_file_name": "README.txt", "kill_processes": ["MsMpEng.exe", "TaniumCX.exe"] }

Ransomhub Fidye Notu (Kaynak-Grup-IB)

CISA, kuruluşları derhal CVE-2024-3400’ü düzenlemeye ve RansomHub’ın yarattığı artan tehdidi azaltmak için uzaktan hizmetleri denetlemeye çağırıyor.

Tespit stratejileri, Ransomhub ikili dosyaları için Yara kurallarını kullanmayı, Şüpheli PowerShell komutlarının izlenmesini içerir. Get-CimInstance Win32_ShadowCopy | Remove-CimInstanceve IP gibi bilinen uzlaşma göstergelerinin (IOC’ler) engellenmesi 10.10.10.10:22 ve Tor URL’leri.

Ransomhub, sıfır gün güvenlik açıklarını aktif olarak sömürmek ve yerinden edilmiş ALPHV/Lockbit iştiraklerini işe alarak, kuruluşlar uç nokta güvenliğini güçlendirmeli ve potansiyel saldırıları önlemek için yedekleme izolasyonunu sağlamalıdır.

Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free



Source link