Появившаяся программа быстро превратилась в одну из самых распространенных угроз вымогательства
RansomHub, новая программа «вымогательства как услуги» (RaaS), которая быстро стала одной из самых крупных групп вымогателей в настоящее время, очень вероятно, является обновленной и ребрендированной версией старой вредоносной программы Knight.
Анализ полезной нагрузки RansomHub, проведенный компанией Symantec, входящей в состав Broadcom, выявил высокую степень сходства между двумя угрозами, что позволяет предположить, что Knight послужил отправной точкой для RansomHub.
Несмотря на общее происхождение, маловероятно, что создатели Knight сейчас управляют RansomHub. Исходный код Knight (первоначально известного как Cyclops) был выставлен на продажу на подпольных форумах в феврале 2024 года, после того как разработчики Knight решили свернуть свою деятельность. Не исключено, что другие участники приобрели исходный код Knight и обновили его перед запуском RansomHub.
Сравнение RansomHub и Knight
Обе полезные нагрузки написаны на языке Go, и большинство вариантов каждого семейства обфусцированы с помощью Gobfuscate. Только некоторые ранние версии Knight не обфусцированы.
Степень перекрытия кода между двумя семействами значительна, что сильно затрудняет их различение. Во многих случаях определить их можно было, только проверив встроенную ссылку на сайт утечки данных.
Оба семейства имеют практически идентичные меню помощи, доступные в командной строке. Единственным отличием является добавление команды sleep в RansomHub.
Рисунок 1. Справочное меню командной строки Knight.
Рисунок 2. Справочное меню командной строки RansomHub.
Обе угрозы используют уникальную технику обфускации, когда каждая важная строка шифруется уникальным ключом и расшифровывается во время выполнения. Например, в команде «cmd.exe /c iisreset.exe /stop» только строка iisrest.exe зашифрована уникальным ключом
Рисунок 3. Кодировка строк RansomHub.
Только строка iisrest.exe зашифрована уникальным ключом.
В записках о выкупе, оставленных обеими полезными нагрузками, есть значительное сходство: многие фразы, использованные Knight, дословно повторяются в записке RansomHub, что позволяет предположить, что разработчики просто отредактировали и обновили оригинальную записку.
Рисунок 4. Записка с выкупом от Knight.
Рисунок 5. Записка о выкупе от RansomHub.
Одно из главных различий между двумя семействами вымогательских программ – это команды, запускаемые через cmd.exe. Эти команды могут быть заданы при создании полезной нагрузки или во время ее настройки. Хотя сами команды отличаются, способ и порядок их вызова по отношению к другим операциям одинаковы.
Уникальной особенностью Knight и RansomHub является возможность перезапуска конечной точки в безопасном режиме перед началом шифрования. Этот прием ранее использовался в 2019 году вымогателем Snatch и позволяет шифровать данные без вмешательства операционной системы и других процессов безопасности. Snatch также написан на языке Go и имеет много схожих функций, что позволяет предположить, что он может быть очередным развитием того же исходного кода, который использовался для разработки Knight и RansomHub. Однако Snatch имеет существенные отличия, включая явное отсутствие настраиваемых команд или какой-либо обфускации.
Еще одно семейство вымогателей, которое перед шифрованием перезагружает пораженный компьютер в безопасном режиме, – Noberus. Интересно, что шифровальщик хранит свою конфигурацию в JSON, где ключевые слова совпадают с теми, что были замечены в RansomHub.
Атаки RansomHub
В недавних атаках RansomHub, расследованных Symantec, злоумышленники получали первоначальный доступ, используя уязвимость Zerologon (CVE-2020-1472), которая может позволить злоумышленнику получить привилегии администратора домена и взять под контроль весь домен.
Злоумышленники использовали несколько инструментов двойного назначения перед развертыванием программы-вымогателя. Atera и Splashtop использовались для обеспечения удаленного доступа, а NetScan – для вероятного обнаружения и получения информации о сетевых устройствах. Полезная нагрузка RansomHub использовала инструменты командной строки iisreset.exe и iisrstas.exe для остановки всех служб Internet Information Services (IIS).
Быстрый рост
Несмотря на то, что RansomHub впервые появилась в феврале 2024 года, она очень быстро разрослась и за последние три месяца заняла четвертое место среди операторов вымогательского ПО по количеству атак, о которых было заявлено публично. Недавно группа взяла на себя ответственность за атаку на британский аукционный дом Christies.
Рисунок 6. Наиболее активные операции с вымогательским ПО по количеству заявленных атак, март-май 2023 года.
Одним из факторов, способствующих росту RansomHub, может быть успех группы в привлечении некоторых крупных бывших филиалов группы Noberus (она же ALPHV, Blackcat), которая закрылась в начале этого года. Один из бывших филиалов Noberus, известный как Notchy, теперь, по сообщениям, работает с RansomHub. Кроме того, в недавней атаке RansomHub были использованы инструменты, ранее связанные с другим филиалом Noberus, известным как Scattered Spider.
Скорость, с которой RansomHub создал свой бизнес, позволяет предположить, что в состав группы могут входить операторы-ветераны, имеющие опыт и связи в киберподполье.
Защита/Смягчение последствий
Последние обновления о защите можно найти в бюллетене Symantec Protection Bulletin
Индикаторы компрометации
Если IOC является вредоносным и файл доступен для нас, продукты Symantec Endpoint обнаружат и заблокируют этот файл.
Источник: RansomHub: New Ransomware has Origins in Older Knight
