- 19,475
- 40
- 8 Ноя 2022
Как всего одна группировка перевернула мир кибершантажа с ног на голову?
В 2024 году на киберпреступной сцене стремительно появился новый игрок — группировка RansomHub, которая успела атаковать уже более 600 организаций по всему миру. Для просмотра ссылки Войдиили Зарегистрируйся исследования Group-IB , группа RansomHub заполнила вымогательскую нишу после недавних нарушений в деятельности Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся .
Эксперты отмечают, что RansomHub действует в формате ransomware-as-a-service (RaaS), активно привлекая партнёров на подпольных форумах, таких как RAMP. Основной стратегией стало переманивание Для просмотра ссылки Войдиили Зарегистрируйся , ранее работавших на другие группировки, что позволило RansomHub быстро нарастить масштабы атак.
Анализ кода вредоноса показал, что группировка, вероятно, приобрела своё программное обеспечение у Knight (Cyclops), другой известной киберпреступной организации. Использование готовых решений ускорило развёртывание атак, а мультиплатформенность программы позволяет шифровать системы на Windows, ESXi, Linux и FreeBSD, расширяя список потенциальных жертв.
RansomHub отличается высокой степенью организованности. Группировка использует как проверенные техники взлома — атаки на VPN-сервисы и подбор паролей, так и сложные методы, включая эксплуатацию уязвимостей нулевого дня. В арсенале атакующих — инструменты вроде PCHunter, позволяющие обходить средства защиты.
Тактика атак включает тщательное исследование сети жертвы и захват наиболее ценных данных. Операторы проникают в инфраструктуру, получают контроль над критическими узлами — файловыми хранилищами, резервными копиями, серверами — и переносят конфиденциальные сведения на удалённые серверы. Для передачи информации преступники используют Filezilla, а затем запускают процесс шифрования на скомпрометированных хостах.
После завершения атаки RansomHub шантажирует жертву, требуя выкуп за расшифровку и непубликацию данных. Программа-вымогатель способна останавливать виртуальные машины, уничтожать теневые копии файлов и зачищать журналы событий, затрудняя расследование Для просмотра ссылки Войдиили Зарегистрируйся .
Одной из наиболее разрушительных атак RansomHub стала операция, проведённая всего за 14 часов. Преступники использовали Для просмотра ссылки Войдиили Зарегистрируйся в межсетевом экране Palo Alto ( Для просмотра ссылки Войди или Зарегистрируйся ) для первичного доступа, затем применили брутфорс учётных данных от VPN-клиента. После этого атакующие эксплуатировали старые бреши в Windows ( Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся ), получая полный контроль над сетью.
Эксперты подчёркивают, что столь эффективная деятельность RansomHub стала возможной из-за несвоевременного обновления операционных систем. Если та или иная компания становится жертвой атаки через уязвимость, закрытую несколько лет назад, то виновато в этом исключительно её собственное халатное отношение к кибербезопасности. В данном случае глупо перекладывать ответственность на поставщиков программного обеспечения.
Растущая активность RansomHub свидетельствует о продолжающейся эволюции киберугроз. Организации должны усиливать свою защиту, регулярно обновлять программное обеспечение и минимизировать поверхность атаки, чтобы не попасть в список жертв RansomHub и прочих вымогательских группировок.
В 2024 году на киберпреступной сцене стремительно появился новый игрок — группировка RansomHub, которая успела атаковать уже более 600 организаций по всему миру. Для просмотра ссылки Войди
Эксперты отмечают, что RansomHub действует в формате ransomware-as-a-service (RaaS), активно привлекая партнёров на подпольных форумах, таких как RAMP. Основной стратегией стало переманивание Для просмотра ссылки Войди
Анализ кода вредоноса показал, что группировка, вероятно, приобрела своё программное обеспечение у Knight (Cyclops), другой известной киберпреступной организации. Использование готовых решений ускорило развёртывание атак, а мультиплатформенность программы позволяет шифровать системы на Windows, ESXi, Linux и FreeBSD, расширяя список потенциальных жертв.
RansomHub отличается высокой степенью организованности. Группировка использует как проверенные техники взлома — атаки на VPN-сервисы и подбор паролей, так и сложные методы, включая эксплуатацию уязвимостей нулевого дня. В арсенале атакующих — инструменты вроде PCHunter, позволяющие обходить средства защиты.
Тактика атак включает тщательное исследование сети жертвы и захват наиболее ценных данных. Операторы проникают в инфраструктуру, получают контроль над критическими узлами — файловыми хранилищами, резервными копиями, серверами — и переносят конфиденциальные сведения на удалённые серверы. Для передачи информации преступники используют Filezilla, а затем запускают процесс шифрования на скомпрометированных хостах.
После завершения атаки RansomHub шантажирует жертву, требуя выкуп за расшифровку и непубликацию данных. Программа-вымогатель способна останавливать виртуальные машины, уничтожать теневые копии файлов и зачищать журналы событий, затрудняя расследование Для просмотра ссылки Войди
Одной из наиболее разрушительных атак RansomHub стала операция, проведённая всего за 14 часов. Преступники использовали Для просмотра ссылки Войди
Эксперты подчёркивают, что столь эффективная деятельность RansomHub стала возможной из-за несвоевременного обновления операционных систем. Если та или иная компания становится жертвой атаки через уязвимость, закрытую несколько лет назад, то виновато в этом исключительно её собственное халатное отношение к кибербезопасности. В данном случае глупо перекладывать ответственность на поставщиков программного обеспечения.
Растущая активность RansomHub свидетельствует о продолжающейся эволюции киберугроз. Организации должны усиливать свою защиту, регулярно обновлять программное обеспечение и минимизировать поверхность атаки, чтобы не попасть в список жертв RansomHub и прочих вымогательских группировок.
- Источник новости
- www.securitylab.ru
