RansomHub наносит удар: кибератаки на ESXi, Linux и Windows набирают обороты

В феврале 2024 года появилась новая платформа RansomHub, которая предоставляет услуги программы-вымогателя. Эта платформа заражает компьютеры с операционными системами Windows, Linux и ESXi с помощью вредоносного ПО, написанного на языках программирования Go и C++. В отчете Insikt Group описаны ключевые аспекты работы RansomHub, его связь с ранее известным вирусом Knight и меры по защите от угрозы.

Группировка быстро набрала популярность, став четвертой по числу публично заявленных атак за последние три месяца. Высокая комиссия в 90% привлекает опытных хакеров, что ведет к резкому росту числа заражений.

С момента своего появления RansomHub нанес ущерб 45 жертвам в 18 странах, в основном в ИТ-секторе. Это говорит о стратегии выбора крупных компаний, которые могут выплатить значительные суммы выкупа из-за серьезных финансовых последствий простоя.

Особенно интересна тактика использования RansomHub неправильно настроенных экземпляров Amazon S3 для доступа к резервным копиям не только основного объекта атаки, но и других клиентов того же поставщика резервных копий. В таких атаках хакеры шантажируют поставщиков решений по резервному копированию, угрожая утечкой данных клиентов.

Insikt Group выявила схожие элементы кода между RansomHub и другими группами вымогателей, такими как ALPHV (BlackCat) и Knight Ransomware, что может свидетельствовать о возможных связях или общих ресурсах среди групп.

Деятельность Knight как модели RaaS прекратилась в конце февраля 2024 года, когда исходный код Knight был выставлен на продажу. Это дало основание полагать, что вирус мог перейти в руки нового владельца, который обновил его и запустил под брендом RansomHub.

Первая жертва RansomHub была зафиксирована в феврале 2024 года, и с тех пор вирус уже связан с рядом недавних атак на компании Change Healthcare, Christie's и Frontier Communications. Примечательно, что новая версия вируса не атакует объекты в странах СНГ, на Кубе, в Северной Корее и Китае.

Версии шифровальщика RansomHub для Linux и Windows написаны на Go, а новая версия для ESXi — на C++. Это позволяет злоумышленникам увеличить базу потенциальных целей, так как все больше предприятий используют виртуализированные среды.

Insikt Group обнаружила, что версия RansomHub для ESXi создает файл /tmp/app.pid, чтобы предотвратить запуск нескольких экземпляров одновременно. Специалисты также нашли уязвимость в коде: если файл содержит «-1», вредоносное ПО попытается завершить несуществующий процесс, что приведет к бесконечному циклу и остановит шифрование данных.

Чтобы защититься от этой угрозы, рекомендуется регулярно обновлять операционные системы и программы, использовать надежные антивирусные решения, а также создавать резервные копии данных и хранить их в безопасных местах.