Новость

RansomHub наносит удар: кибератаки на ESXi, Linux и Windows набирают обороты

RansomHub наносит удар: кибератаки на ESXi, Linux и Windows набирают обороты

Citizen

Citizen Sec , 10-07-2024

Новость
#Информационная безопасность
RansomHub наносит удар: кибератаки на ESXi, Linux и Windows набирают обороты

В феврале 2024 года появилась новая платформа RansomHub, которая предоставляет услуги программы-вымогателя. Эта платформа заражает компьютеры с операционными системами Windows, Linux и ESXi с помощью вредоносного ПО, написанного на языках программирования Go и C++. В отчете Insikt Group описаны ключевые аспекты работы RansomHub, его связь с ранее известным вирусом Knight и меры по защите от угрозы.


Группировка быстро набрала популярность, став четвертой по числу публично заявленных атак за последние три месяца. Высокая комиссия в 90% привлекает опытных хакеров, что ведет к резкому росту числа заражений.


С момента своего появления RansomHub нанес ущерб 45 жертвам в 18 странах, в основном в ИТ-секторе. Это говорит о стратегии выбора крупных компаний, которые могут выплатить значительные суммы выкупа из-за серьезных финансовых последствий простоя.


Особенно интересна тактика использования RansomHub неправильно настроенных экземпляров Amazon S3 для доступа к резервным копиям не только основного объекта атаки, но и других клиентов того же поставщика резервных копий. В таких атаках хакеры шантажируют поставщиков решений по резервному копированию, угрожая утечкой данных клиентов.


Insikt Group выявила схожие элементы кода между RansomHub и другими группами вымогателей, такими как ALPHV (BlackCat) и Knight Ransomware, что может свидетельствовать о возможных связях или общих ресурсах среди групп.


Деятельность Knight как модели RaaS прекратилась в конце февраля 2024 года, когда исходный код Knight был выставлен на продажу. Это дало основание полагать, что вирус мог перейти в руки нового владельца, который обновил его и запустил под брендом RansomHub.


Первая жертва RansomHub была зафиксирована в феврале 2024 года, и с тех пор вирус уже связан с рядом недавних атак на компании Change Healthcare, Christie's и Frontier Communications. Примечательно, что новая версия вируса не атакует объекты в странах СНГ, на Кубе, в Северной Корее и Китае.


Версии шифровальщика RansomHub для Linux и Windows написаны на Go, а новая версия для ESXi — на C++. Это позволяет злоумышленникам увеличить базу потенциальных целей, так как все больше предприятий используют виртуализированные среды.


Insikt Group обнаружила, что версия RansomHub для ESXi создает файл /tmp/app.pid, чтобы предотвратить запуск нескольких экземпляров одновременно. Специалисты также нашли уязвимость в коде: если файл содержит «-1», вредоносное ПО попытается завершить несуществующий процесс, что приведет к бесконечному циклу и остановит шифрование данных.


Чтобы защититься от этой угрозы, рекомендуется регулярно обновлять операционные системы и программы, использовать надежные антивирусные решения, а также создавать резервные копии данных и хранить их в безопасных местах.

Вам также будет интересно

Спецвыпуск
#Информационная безопасность

Как защитить детей в цифровом мире: почему безопасность в интернете — это важно

Современные дети растут в эпоху цифровых технологий — смартфоны, планшеты, социальные сети и онлайн-игры стали неотъемлемой частью их жизни. Интернет открывает массу возможностей для учёбы, творчества и общения, но вместе с этим приносит и серьёзные риски.

CitizenSec Author

30-05-2025
Статья
#Информационная безопасность

Регламент по использованию корпоративной электронной почты

Правила использования корпоративной почты: что разрешено, что запрещено, меры безопасности и ответственность.

Citizen Sec

19-05-2025
Спецвыпуск
#Информационная безопасность

Женщины в кибербезопасности из Казахстана

Специальный выпуск посвящён женщинам в кибербезопасности, которые преодолевают вызовы, вдохновляют других и делают мир безопаснее. Мы рассказываем истории трёх профессионалок, их пути в ИБ, советы по карьере и безопасности в интернете. Узнайте, как начать свой путь в кибербезопасности и развиваться в этой динамичной сфере.

CitizenSec Author

03-05-2025
Новость
#Информационная безопасность

Внимание на обыденные IT-инструменты: новая тактика китайской шпионской группы

Компания Microsoft предупреждает: китайская группа шпионов использует повседневные IT-инструменты для взлома сетей.

Медет Турин

06-03-2025
Новость
#Информационная безопасность
#Критическая уязвимость

Обнаружены опасные программы Zebo-0.1.0 и Cometlogger-0.1, которые крадут данные и управляют компьютером

Специалисты выявили два вредоносных файла, которые маскируются под полезные программы. Эти файлы могут воровать личные данные, следить за действиями на компьютере и даже брать управление системой под свой контроль.

Citizen Sec

26-12-2024
Новость
#Информационная безопасность

Утечка в Postman: более 30 000 ключей API и токенов стали доступными публично

Тысячи рабочих пространств Postman случайно раскрыли важные данные, такие как ключи API и токены доступа. Узнайте, как правильно защитить вашу среду разработки API и обезопасить данные вашей организации.

Citizen Sec

21-11-2024
Новость
#Информационная безопасность

Новый троян SteelFox имитирует программные активаторы, воруя конфиденциальные данные и добывая криптовалюту

SteelFox был впервые выявлен в августе 2023 года, но его активность заметно возросла. За последние месяцы было зафиксировано более 11 000 попыток заражения.

Citizen Sec

11-11-2024
Новость
#Критическая уязвимость
#Информационная безопасность

Критическая уязвимость CVE-2024-43093 угрожает безопасности пользователей Android

Эта проблема позволяет хакерам получить несанкционированный доступ к важным системным папкам Android.

Citizen Sec

05-11-2024
Новость
#Информационная безопасность

ChatGPT убедили создать эксплойт, подсунув инструкцию в 16-ричном формате

Исследователь из Mozilla предложил новый способ обхода контент-фильтров в больших языковых моделях (LLM), применяемых для предотвращения злоупотреблений.

Citizen Sec

01-11-2024
Новость
#Информационная безопасность

Новый инструмент для обхода шифрования cookies в Google Chrome: как он работает и что это значит для вашей безопасности в Сети?

Недавно исследователь в области кибербезопасности Александр Хагена разработал инструмент, который может обойти новую защитную функцию в Google Chrome, называемую привязанным к приложению шифрованием.

Citizen Sec

30-10-2024