Uma análise de uma cepa emergente de ransomware chamada Ransom Hub revelou que é uma versão atualizada e renomeada do ransomware Knight, ele próprio uma evolução de outro ransomware conhecido como Cyclops.
O ransomware Knight (também conhecido como Cyclops 2.0) chegou pela primeira vez em maio de 2023, empregando táticas de dupla extorsão para roubar e criptografar os dados das vítimas para obter ganhos financeiros. Está operacional em várias plataformas, incluindo Home windows, Linux, macOS, ESXi e Android.
Anunciados e vendidos no fórum de crimes cibernéticos RAMP, descobriu-se que ataques envolvendo ransomware aproveitam campanhas de phishing e spear-phishing como um vetor de distribuição na forma de anexos maliciosos.
A operação de ransomware como serviço (RaaS) foi encerrada no ultimate de fevereiro de 2024, quando seu código-fonte foi colocado à venda, levantando a possibilidade de que possa ter mudado de mãos para um ator diferente, que posteriormente decidiu atualize e reinicie-o com a marca RansomHub.
O RansomHub, que postou sua primeira vítima no mesmo mês, foi vinculado a uma série de ataques de ransomware nas últimas semanas, incluindo os da Change Healthcare, Christie's e Frontier Communications. Também prometeu abster-se de visar entidades nos países da Comunidade de Estados Independentes (CEI), Cuba, Coreia do Norte e China.
“Ambas as cargas úteis são escritas em Go e a maioria das variantes de cada família são ofuscadas com Gobfuscate”, disse a Symantec, parte da Broadcom, em um relatório compartilhado com o The Hacker Information. “O grau de sobreposição de códigos entre as duas famílias é significativo, tornando muito difícil diferenciá-las”.
As duas famílias de ransomware compartilham menus de ajuda idênticos na linha de comando, com o RansomHub adicionando uma nova opção de “suspensão” que o torna inativo por um período de tempo especificado (em minutos) antes da execução. Comandos de suspensão semelhantes também foram observados nas famílias de ransomware Chaos/Yashma e Trigona.
As sobreposições entre Knight e RansomHub também se estendem à técnica de ofuscação usada para codificar strings, às notas de resgate descartadas após a criptografia de arquivos e à capacidade de reiniciar um host no modo de segurança antes de iniciar a criptografia.
A única diferença principal é o conjunto de comandos executados through cmd.exe, embora a “forma e ordem em que são chamados em relação a outras operações sejam as mesmas”, disse a Symantec.
Foram observados ataques RansomHub aproveitando falhas de segurança conhecidas (por exemplo, ZeroLogon) para obter acesso inicial e descartar software program de desktop remoto, como Atera e Splashtop, antes da implantação do ransomware.
De acordo com estatísticas compartilhadas pela Malwarebytes, a família ransomware foi associada a 26 ataques confirmados somente no mês de abril de 2024, ficando atrás de Play, Hunters Worldwide, Black Basta e LockBit.
A Mandiant, de propriedade do Google, em um relatório publicado esta semana, revelou que o RansomHub está tentando recrutar afiliados que foram afetados por paralisações recentes ou golpes de saída, como o de LockBit e BlackCat.
“Um ex-afiliado da Noberus conhecido como Notchy agora está trabalhando com o RansomHub”, disse a Symantec. “Além disso, ferramentas anteriormente associadas a outra afiliada da Noberus, conhecida como Scattered Spider, foram usadas em um ataque recente ao RansomHub.”
“A velocidade com que o RansomHub estabeleceu seus negócios sugere que o grupo pode ser composto por operadores veteranos com experiência e contatos no mundo cibernético.”
O desenvolvimento ocorre em meio a um aumento na atividade de ransomware em 2023, em comparação com uma “ligeira queda” em 2022, embora aproximadamente um terço das 50 novas famílias observadas no ano tenham sido consideradas variantes de famílias de ransomware previamente identificadas, indicando o aumento prevalência de reutilização de código, sobreposições de atores e rebrands.
“Em quase um terço dos incidentes, o ransomware foi implantado 48 horas após o acesso inicial do invasor”, disseram os pesquisadores da Mandiant. “Setenta e seis por cento (76%) das implantações de ransomware ocorreram fora do horário de trabalho, com a maioria ocorrendo no início da manhã.”
Esses ataques também são caracterizados pelo uso de ferramentas de desktop remoto legítimas e disponíveis comercialmente para facilitar as operações de intrusão, em vez de depender do Cobalt Strike.
“A crescente dependência observada de ferramentas legítimas provavelmente reflete os esforços dos invasores para ocultar suas operações dos mecanismos de detecção e reduzir o tempo e os recursos necessários para desenvolver e manter ferramentas personalizadas”, disse Mandiant.
A recuperação dos ataques de ransomware segue o surgimento de novas variantes de ransomware como BlackSuit, Fog e ShrinkLocker, o último dos quais foi observado implantando um Visible Primary Script (VBScript) que aproveita o utilitário BitLocker nativo da Microsoft para criptografia de arquivos não autorizados em ataques de extorsão visando o México, a Indonésia e a Jordânia.
ShrinkLocker é assim chamado por sua capacidade de criar uma nova partição de inicialização, reduzindo o tamanho de cada partição não inicializável disponível em 100 MB, transformando o espaço não alocado em uma nova partição primária e usando-a para reinstalar os arquivos de inicialização a fim de ativar recuperação.
“Este ator de ameaça tem um amplo conhecimento da linguagem VBScript e dos recursos internos e utilitários do Home windows, como WMI, diskpart e bcdboot”, disse a Kaspersky em sua análise do ShrinkLocker, observando que eles provavelmente “já tinham controle whole do sistema de destino”. quando o script foi executado.”
