@CitizenSec , 10-07-2024
В феврале 2024 года появилась новая платформа RansomHub, которая предоставляет услуги программы-вымогателя. Эта платформа заражает компьютеры с операционными системами Windows, Linux и ESXi с помощью вредоносного ПО, написанного на языках программирования Go и C++. В отчете Insikt Group описаны ключевые аспекты работы RansomHub, его связь с ранее известным вирусом Knight и меры по защите от угрозы.
Группировка быстро набрала популярность, став четвертой по числу публично заявленных атак за последние три месяца. Высокая комиссия в 90% привлекает опытных хакеров, что ведет к резкому росту числа заражений.
С момента своего появления RansomHub нанес ущерб 45 жертвам в 18 странах, в основном в ИТ-секторе. Это говорит о стратегии выбора крупных компаний, которые могут выплатить значительные суммы выкупа из-за серьезных финансовых последствий простоя.
Особенно интересна тактика использования RansomHub неправильно настроенных экземпляров Amazon S3 для доступа к резервным копиям не только основного объекта атаки, но и других клиентов того же поставщика резервных копий. В таких атаках хакеры шантажируют поставщиков решений по резервному копированию, угрожая утечкой данных клиентов.
Insikt Group выявила схожие элементы кода между RansomHub и другими группами вымогателей, такими как ALPHV (BlackCat) и Knight Ransomware, что может свидетельствовать о возможных связях или общих ресурсах среди групп.
Деятельность Knight как модели RaaS прекратилась в конце февраля 2024 года, когда исходный код Knight был выставлен на продажу. Это дало основание полагать, что вирус мог перейти в руки нового владельца, который обновил его и запустил под брендом RansomHub.
Первая жертва RansomHub была зафиксирована в феврале 2024 года, и с тех пор вирус уже связан с рядом недавних атак на компании Change Healthcare, Christie's и Frontier Communications. Примечательно, что новая версия вируса не атакует объекты в странах СНГ, на Кубе, в Северной Корее и Китае.
Версии шифровальщика RansomHub для Linux и Windows написаны на Go, а новая версия для ESXi — на C++. Это позволяет злоумышленникам увеличить базу потенциальных целей, так как все больше предприятий используют виртуализированные среды.
Insikt Group обнаружила, что версия RansomHub для ESXi создает файл /tmp/app.pid, чтобы предотвратить запуск нескольких экземпляров одновременно. Специалисты также нашли уязвимость в коде: если файл содержит «-1», вредоносное ПО попытается завершить несуществующий процесс, что приведет к бесконечному циклу и остановит шифрование данных.
Чтобы защититься от этой угрозы, рекомендуется регулярно обновлять операционные системы и программы, использовать надежные антивирусные решения, а также создавать резервные копии данных и хранить их в безопасных местах.
Плагин Really Simple Security имел серьезную уязвимость, которая могла позволить злоумышленникам получить доступ к администраторским функциям вашего сайта.
@CitizenSec
21-11-2024В ноябре 2024 года Microsoft выпустила обновление, которое исправляет 91 уязвимость в своих программах, включая четыре уязвимости нулевого дня.
@CitizenSec
14-11-2024SteelFox был впервые выявлен в августе 2023 года, но его активность заметно возросла. За последние месяцы было зафиксировано более 11 000 попыток заражения.
@CitizenSec
11-11-2024Эта проблема позволяет хакерам получить несанкционированный доступ к важным системным папкам Android.
@CitizenSec
05-11-2024Исследователь из Mozilla предложил новый способ обхода контент-фильтров в больших языковых моделях (LLM), применяемых для предотвращения злоупотреблений.
@CitizenSec
01-11-2024Недавно исследователь в области кибербезопасности Александр Хагена разработал инструмент, который может обойти новую защитную функцию в Google Chrome, называемую привязанным к приложению шифрованием.
@CitizenSec
30-10-2024В npm обнаружены вредоносные пакеты, маскирующиеся под популярный пакет ethers.
@CitizenSec
28-10-2024Опубликована новая атака под названием 'Windows Downdate', которая позволяет взламывать Windows 11, понизив версию системных компонентов и используя старые уязвимости.
@CitizenSec
26-10-2024Интернет-архив (Archive.org) столкнулся со второй утечкой данных в октябре 2024 года, когда хакеры получили доступ к служебным билетам через незащищенные токены API Zendesk.
@CitizenSec
22-10-2024Этот вредоносный софт использует хитрые методы, чтобы обмануть пользователей, показывая поддельный экран разблокировки.
@CitizenSec
20-10-2024