Home » Ομάδα RansomHub: επιθέσεις σε κρίσιμους τομείς

Ομάδα RansomHub: επιθέσεις σε κρίσιμους τομείς

Η ομάδα ransomware RansomHub έχει στοχοποιήσει 210 οργανισμούς από τον Φεβρουάριο του 2024, προκαλώντας σοβαρές διακοπές λειτουργίας σε τομείς όπως η υγεία, οι μεταφορές και η κυβερνητική υποδομή.

Η ομάδα χρησιμοποιεί την τακτική “double extortion” για να κρυπτογραφήσει δεδομένα και να απαιτήσει λύτρα, ενώ οι οργανισμοί που αρνούνται να πληρώσουν βλέπουν τα δεδομένα τους δημοσιευμένα σε παράνομους ιστότοπους.

Τακτικές & τεχνικές

Η RansomHub βασίζεται σε ένα ransomware-as-a-service (RaaS) μοντέλο, προσελκύοντας σημαντικούς συνεργάτες από άλλες ομάδες ransomware, όπως οι LockBit και ALPHV (γνωστή και ως BlackCat). Η ομάδα χρησιμοποιεί γνωστές ευπάθειες σε λογισμικά όπως Apache ActiveMQ και Citrix ADC για να αποκτήσει αρχική πρόσβαση στα δίκτυα των θυμάτων. Ακολούθως, χρησιμοποιεί εργαλεία όπως AngryIPScanner και Nmap για να εκτελέσει αναγνώριση και να προχωρήσει σε επιθέσεις.

Εξέλιξη & τάσεις

Η δραστηριότητα της RansomHub σημείωσε άνοδο, με το ποσοστό των επιθέσεων τους να αυξάνεται από 2% το πρώτο τρίμηνο του 2024 σε 14,2% το τρίτο τρίμηνο. Η χρήση προηγμένων εργαλείων και τεχνικών, όπως το Mimikatz για την κλοπή διαπιστευτηρίων, καθιστά αυτή την ομάδα ιδιαίτερα επικίνδυνη. Επιπλέον, οι επιτιθέμενοι χρησιμοποιούν εργαλεία όπως το PuTTY και το Cobalt Strike για την εξαγωγή δεδομένων.

Στρατηγικές πολλαπλής εκβίασης

Η RansomHub δεν περιορίζεται μόνο στην κρυπτογράφηση αρχείων. Εφαρμόζει και στρατηγικές “triple” και “quadruple” extortion, όπου εκτός από την κρυπτογράφηση και την εξαγωγή δεδομένων, απειλεί με DDoS επιθέσεις ή ακόμα και με την εκβίαση τρίτων που συνδέονται με τα θύματα, όπως πελάτες ή προμηθευτές. Αυτές οι τακτικές αυξάνουν σημαντικά την πίεση στους οργανισμούς να πληρώσουν τα λύτρα.

Συνεργασία με κρατικούς δράστες

Η φύση του RaaS μοντέλου έχει ενισχύσει την ανάπτυξη νέων παραλλαγών ransomware, όπως οι Allarich, Cronus και Datablack. Επιπλέον, κρατικοί δρώντες από το Ιράν συνεργάζονται με ομάδες όπως οι RansomHouse και BlackCat για να επωφεληθούν από τα έσοδα των επιθέσεων.

Περισσότερες πληροφορίες εδώ και εδώ.

Ακολουθήστε μας
Facebook
Twitter
LinkedIn
INSTAGRAM

Σχετικά άρθρα