Новость

RansomHub наносит удар: кибератаки на ESXi, Linux и Windows набирают обороты

RansomHub наносит удар: кибератаки на ESXi, Linux и Windows набирают обороты

Citizen Sec

@CitizenSec , 10-07-2024

Новость
#Информационная безопасность
RansomHub наносит удар: кибератаки на ESXi, Linux и Windows набирают обороты

В феврале 2024 года появилась новая платформа RansomHub, которая предоставляет услуги программы-вымогателя. Эта платформа заражает компьютеры с операционными системами Windows, Linux и ESXi с помощью вредоносного ПО, написанного на языках программирования Go и C++. В отчете Insikt Group описаны ключевые аспекты работы RansomHub, его связь с ранее известным вирусом Knight и меры по защите от угрозы.


Группировка быстро набрала популярность, став четвертой по числу публично заявленных атак за последние три месяца. Высокая комиссия в 90% привлекает опытных хакеров, что ведет к резкому росту числа заражений.


С момента своего появления RansomHub нанес ущерб 45 жертвам в 18 странах, в основном в ИТ-секторе. Это говорит о стратегии выбора крупных компаний, которые могут выплатить значительные суммы выкупа из-за серьезных финансовых последствий простоя.


Особенно интересна тактика использования RansomHub неправильно настроенных экземпляров Amazon S3 для доступа к резервным копиям не только основного объекта атаки, но и других клиентов того же поставщика резервных копий. В таких атаках хакеры шантажируют поставщиков решений по резервному копированию, угрожая утечкой данных клиентов.


Insikt Group выявила схожие элементы кода между RansomHub и другими группами вымогателей, такими как ALPHV (BlackCat) и Knight Ransomware, что может свидетельствовать о возможных связях или общих ресурсах среди групп.


Деятельность Knight как модели RaaS прекратилась в конце февраля 2024 года, когда исходный код Knight был выставлен на продажу. Это дало основание полагать, что вирус мог перейти в руки нового владельца, который обновил его и запустил под брендом RansomHub.


Первая жертва RansomHub была зафиксирована в феврале 2024 года, и с тех пор вирус уже связан с рядом недавних атак на компании Change Healthcare, Christie's и Frontier Communications. Примечательно, что новая версия вируса не атакует объекты в странах СНГ, на Кубе, в Северной Корее и Китае.


Версии шифровальщика RansomHub для Linux и Windows написаны на Go, а новая версия для ESXi — на C++. Это позволяет злоумышленникам увеличить базу потенциальных целей, так как все больше предприятий используют виртуализированные среды.


Insikt Group обнаружила, что версия RansomHub для ESXi создает файл /tmp/app.pid, чтобы предотвратить запуск нескольких экземпляров одновременно. Специалисты также нашли уязвимость в коде: если файл содержит «-1», вредоносное ПО попытается завершить несуществующий процесс, что приведет к бесконечному циклу и остановит шифрование данных.


Чтобы защититься от этой угрозы, рекомендуется регулярно обновлять операционные системы и программы, использовать надежные антивирусные решения, а также создавать резервные копии данных и хранить их в безопасных местах.

Вам также будет интересно

Новость
#Информационная безопасность
#Критическая уязвимость

Уязвимость плагина Really Simple Security угрожает безопасности более 4 миллионов сайтов на WordPress

Плагин Really Simple Security имел серьезную уязвимость, которая могла позволить злоумышленникам получить доступ к администраторским функциям вашего сайта.

@CitizenSec

21-11-2024
Новость
#Информационная безопасность
#Критическая уязвимость

Ноябрьский Patch Tuesday от Microsoft: исправлена 91 уязвимость, включая 4 критические

В ноябре 2024 года Microsoft выпустила обновление, которое исправляет 91 уязвимость в своих программах, включая четыре уязвимости нулевого дня.

@CitizenSec

14-11-2024
Новость
#Информационная безопасность

Новый троян SteelFox имитирует программные активаторы, воруя конфиденциальные данные и добывая криптовалюту

SteelFox был впервые выявлен в августе 2023 года, но его активность заметно возросла. За последние месяцы было зафиксировано более 11 000 попыток заражения.

@CitizenSec

11-11-2024
Новость
#Критическая уязвимость
#Информационная безопасность

Критическая уязвимость CVE-2024-43093 угрожает безопасности пользователей Android

Эта проблема позволяет хакерам получить несанкционированный доступ к важным системным папкам Android.

@CitizenSec

05-11-2024
Новость
#Информационная безопасность

ChatGPT убедили создать эксплойт, подсунув инструкцию в 16-ричном формате

Исследователь из Mozilla предложил новый способ обхода контент-фильтров в больших языковых моделях (LLM), применяемых для предотвращения злоупотреблений.

@CitizenSec

01-11-2024
Новость
#Информационная безопасность

Новый инструмент для обхода шифрования cookies в Google Chrome: как он работает и что это значит для вашей безопасности в Сети?

Недавно исследователь в области кибербезопасности Александр Хагена разработал инструмент, который может обойти новую защитную функцию в Google Chrome, называемую привязанным к приложению шифрованием.

@CitizenSec

30-10-2024
Новость
#Информационная безопасность

Вредоносные пакеты npm заражают разработчиков SSH-бэкдором

В npm обнаружены вредоносные пакеты, маскирующиеся под популярный пакет ethers.

@CitizenSec

28-10-2024
Новость
#Информационная безопасность

Новая атака позволяет хакерам откатывать Windows для взлома через закрытые уязвимости

Опубликована новая атака под названием 'Windows Downdate', которая позволяет взламывать Windows 11, понизив версию системных компонентов и используя старые уязвимости.

@CitizenSec

26-10-2024
Новость
#Информационная безопасность

Интернет-архив снова взломан

Интернет-архив (Archive.org) столкнулся со второй утечкой данных в октябре 2024 года, когда хакеры получили доступ к служебным билетам через незащищенные токены API Zendesk.

@CitizenSec

22-10-2024
Новость
#Информационная безопасность

Троян TrickMo: как фишинг атакует ваши телефоны и что вам нужно знать, чтобы защитить себя от этой угрозы?

Этот вредоносный софт использует хитрые методы, чтобы обмануть пользователей, показывая поддельный экран разблокировки.

@CitizenSec

20-10-2024