Програма, що з’явилася, швидко перетворилася на одну з найпоширеніших загроз вимагання.
RansomHub, нова програма “вимагання як послуги” (RaaS), яка швидко стала однією з найбільших на сьогодні груп здирників, дуже ймовірно, є оновленою та ребрендованою версією старої шкідливої програми Knight.
Аналіз корисного навантаження RansomHub, проведений компанією Symantec, що входить до складу Broadcom, виявив високий ступінь подібності між двома загрозами, що дозволяє припустити, що Knight став відправною точкою для RansomHub.
Незважаючи на загальне походження, малоймовірно, що творці Knight зараз управляють RansomHub. Вихідний код Knight (спочатку відомого як Cyclops) було виставлено на продаж на підпільних форумах у лютому 2024 року, після того, як розробники Knight вирішили згорнути свою діяльність. Не виключено, що інші учасники придбали вихідний код Knight та оновили його перед запуском RansomHub.
Порівняння RansomHub та Knight
Обидва корисні навантаження написані мовою Go, і більшість варіантів кожного сімейства обфусковано за допомогою Gobfuscate. Лише деякі ранні версії Knight не обфусковані.
Ступінь перекриття коду між двома сімействами значний, що сильно ускладнює їх розрізнення. У багатьох випадках визначити їх можна було лише перевіривши вбудоване посилання на сайт витоку даних.
Обидва сімейства мають практично ідентичні меню допомоги, доступні у командному рядку. Єдиною відмінністю є додавання команди sleep до RansomHub.
Малюнок 1. Довідкове меню командного рядка Knight.
Малюнок 2. Довідкове меню командного рядка RansomHub.
Обидві загрози використовують унікальну техніку обфускації, коли кожен важливий рядок шифрується унікальним ключем та розшифровується під час виконання. Наприклад, у команді “cmd.exe /c iisreset.exe /stop” тільки рядок iisrest.exe зашифрований унікальним ключем.
Малюнок 3. Кодування рядків RansomHub. Лише рядок iisrest.exe зашифрований унікальним ключем.
У записках про викуп, залишених обома корисними навантаженнями, є значна схожість: багато фраз, використаних Knight, дослівно повторюються в записці RansomHub, що дозволяє припустити, що розробники просто відредагували і оновили оригінальну записку.
Малюнок 4. Записка із викупом від Knight.
Малюнок 5. Записка про викуп від RansomHub.
Одна з головних відмінностей між двома сімействами здирницьких програм – це команди, що запускаються через cmd.exe. Ці команди можуть бути задані під час створення корисного навантаження або під час його налаштування. Хоча самі команди відрізняються, спосіб і порядок їхнього виклику щодо інших операцій однакові.
Унікальною особливістю Knight та RansomHub є можливість перезапуску кінцевої точки в безпечному режимі перед початком шифрування. Цей прийом раніше використовувався у 2019 році здирником Snatch і дозволяє шифрувати дані без втручання операційної системи та інших процесів безпеки. Snatch також написаний мовою Go і має багато схожих функцій, що дозволяє припустити, що він може бути черговим розвитком того самого вихідного коду, який використовувався для розробки Knight і RansomHub. Однак Snatch має суттєві відмінності, включаючи явну відсутність команд, що настроюються або будь-якої обфускації.
Ще одна родина здирників, яка перед шифруванням перезавантажує уражений комп’ютер у безпечному режимі, – Noberus. Цікаво, що шифрувальник зберігає свою конфігурацію в JSON, де ключові слова збігаються з тими, що були помічені в RansomHub.
Атаки RansomHub
У недавніх атаках RansomHub, розслідуваних Symantec, зловмисники отримували початковий доступ, використовуючи вразливість Zerologon (CVE-2020-1472), яка може дозволити зловмиснику отримати привілеї адміністратора домену та взяти під контроль весь домен.
Зловмисники використали кілька інструментів подвійного призначення перед розгортанням програми-вимагача. Atera та Splashtop використовувалися для забезпечення віддаленого доступу, а NetScan – для можливого виявлення та отримання інформації про мережеві пристрої. Корисне навантаження RansomHub використовувало інструменти командного рядка iisreset.exe та iisrstas.exe для зупинення всіх служб Internet Information Services (IIS).
Швидке зростання
Незважаючи на те, що RansomHub вперше з’явилася в лютому 2024 року, вона дуже швидко розрослася і за останні три місяці посіла четверте місце серед операторів вимагання за кількістю атак, про які було заявлено публічно. Нещодавно група взяла відповідальність за атаку на британський аукціонний будинок Christies.
Малюнок 6. Найбільш активні операції з вимаганням за кількістю заявлених атак, березень-травень 2023 року.
Одним із факторів, що сприяють зростанню RansomHub, може бути успіх групи у залученні деяких великих колишніх філій групи Noberus (вона ж ALPHV, Blackcat), яка закрилася на початку цього року. Один з колишніх філій Noberus, відомий як Notchy, тепер, за повідомленнями, працює з RansomHub. Крім того, у недавній атаці RansomHub були використані інструменти, раніше пов’язані з іншою філією Noberus, відомою як Scattered Spider.
Швидкість, з якою RansomHub створила свій бізнес, дозволяє припустити, що до складу групи можуть входити оператори-ветерани, які мають досвід та зв’язки у кіберпідпіллі.
Захист/Пом’якшення наслідків
Останні оновлення захисту можна знайти в бюлетені Symantec Protection Bulletin.
Індикатори компрометації
Якщо IOC є шкідливим і файл доступний для нас, продукти Symantec Endpoint виявлять та заблокують цей файл.
Джерело: RansomHub: New Ransomware has Origins in Older Knight
