Новость

RansomHub наносит удар: кибератаки на ESXi, Linux и Windows набирают обороты

RansomHub наносит удар: кибератаки на ESXi, Linux и Windows набирают обороты

Citizen Sec

@CitizenSec , 10-07-2024

Новость
#Информационная безопасность
RansomHub наносит удар: кибератаки на ESXi, Linux и Windows набирают обороты

В феврале 2024 года появилась новая платформа RansomHub, которая предоставляет услуги программы-вымогателя. Эта платформа заражает компьютеры с операционными системами Windows, Linux и ESXi с помощью вредоносного ПО, написанного на языках программирования Go и C++. В отчете Insikt Group описаны ключевые аспекты работы RansomHub, его связь с ранее известным вирусом Knight и меры по защите от угрозы.


Группировка быстро набрала популярность, став четвертой по числу публично заявленных атак за последние три месяца. Высокая комиссия в 90% привлекает опытных хакеров, что ведет к резкому росту числа заражений.


С момента своего появления RansomHub нанес ущерб 45 жертвам в 18 странах, в основном в ИТ-секторе. Это говорит о стратегии выбора крупных компаний, которые могут выплатить значительные суммы выкупа из-за серьезных финансовых последствий простоя.


Особенно интересна тактика использования RansomHub неправильно настроенных экземпляров Amazon S3 для доступа к резервным копиям не только основного объекта атаки, но и других клиентов того же поставщика резервных копий. В таких атаках хакеры шантажируют поставщиков решений по резервному копированию, угрожая утечкой данных клиентов.


Insikt Group выявила схожие элементы кода между RansomHub и другими группами вымогателей, такими как ALPHV (BlackCat) и Knight Ransomware, что может свидетельствовать о возможных связях или общих ресурсах среди групп.


Деятельность Knight как модели RaaS прекратилась в конце февраля 2024 года, когда исходный код Knight был выставлен на продажу. Это дало основание полагать, что вирус мог перейти в руки нового владельца, который обновил его и запустил под брендом RansomHub.


Первая жертва RansomHub была зафиксирована в феврале 2024 года, и с тех пор вирус уже связан с рядом недавних атак на компании Change Healthcare, Christie's и Frontier Communications. Примечательно, что новая версия вируса не атакует объекты в странах СНГ, на Кубе, в Северной Корее и Китае.


Версии шифровальщика RansomHub для Linux и Windows написаны на Go, а новая версия для ESXi — на C++. Это позволяет злоумышленникам увеличить базу потенциальных целей, так как все больше предприятий используют виртуализированные среды.


Insikt Group обнаружила, что версия RansomHub для ESXi создает файл /tmp/app.pid, чтобы предотвратить запуск нескольких экземпляров одновременно. Специалисты также нашли уязвимость в коде: если файл содержит «-1», вредоносное ПО попытается завершить несуществующий процесс, что приведет к бесконечному циклу и остановит шифрование данных.


Чтобы защититься от этой угрозы, рекомендуется регулярно обновлять операционные системы и программы, использовать надежные антивирусные решения, а также создавать резервные копии данных и хранить их в безопасных местах.

Вам также будет интересно

Новость
#Информационная безопасность

Вредоносные пакеты npm заражают разработчиков SSH-бэкдором

В npm обнаружены вредоносные пакеты, маскирующиеся под популярный пакет ethers.

@CitizenSec

28-10-2024
Новость
#Информационная безопасность

Новая атака позволяет хакерам откатывать Windows для взлома через закрытые уязвимости

Опубликована новая атака под названием 'Windows Downdate', которая позволяет взламывать Windows 11, понизив версию системных компонентов и используя старые уязвимости.

@CitizenSec

26-10-2024
Новость
#Информационная безопасность

Интернет-архив снова взломан

Интернет-архив (Archive.org) столкнулся со второй утечкой данных в октябре 2024 года, когда хакеры получили доступ к служебным билетам через незащищенные токены API Zendesk.

@CitizenSec

22-10-2024
Новость
#Информационная безопасность

Троян TrickMo: как фишинг атакует ваши телефоны и что вам нужно знать, чтобы защитить себя от этой угрозы?

Этот вредоносный софт использует хитрые методы, чтобы обмануть пользователей, показывая поддельный экран разблокировки.

@CitizenSec

20-10-2024
Новость
#Информационная безопасность

Как системные утилиты Windows становятся инструментом обхода защиты и угрожают вашей безопасности

Злоумышленники начали свои атаки в начале октября, и их целью является установка программы Lumma для кражи данных.

@CitizenSec

17-10-2024
Новость
#Информационная безопасность

Как GitHub, Telegram-боты и QR-коды становятся орудиями новой волны фишинговых атак

Злоумышленники используют ссылки на GitHub в фишинговых письмах, чтобы обойти меры безопасности и доставить вредоносное ПО под названием Remcos RAT.

@CitizenSec

14-10-2024
Новость
#Информационная безопасность

В Санкт-Петербурге пойманы мошенники: как они украли аккаунты и что за этим последовало?

Сотрудники уголовного розыска Петербурга задержали двух злоумышленников, которые взламывали учетные записи на портале Госуслуг и оформляли кредиты в микрофинансовых организациях.

@CitizenSec

14-10-2024
Новость
#Информационная безопасность

22 000 пакетов PyPI под угрозой: как проблема Revival Hijack может повлиять на безопасность вашего кода

Аналитики компании JFrog обнаружили новую угрозу, названную Revival Hijack.

@CitizenSec

18-09-2024
Новость
#Информационная безопасность

Казахстан в тройке лидеров дарквеба СНГ: что скрывается за завесой тайны и какие товары продаются в тени?

Недавнее исследование показало, что Республика Казахстан занимает второе место по количеству кибератак в странах СНГ, с 8% от общего числа.

@CitizenSec

16-09-2024
Новость
#Критическая уязвимость
#Информационная безопасность

Уязвимость Microsoft Copilot Studio

Эта уязвимость, известная как SSRF (server-side request forgery), могла позволить злоумышленникам получить доступ к конфиденциальным данным.

@CitizenSec

09-09-2024