RansomHub
RansomHub ist eine ransomware-as-a-service (RaaS)-Variante, die zuvor als Cyclops und Knight bekannt war.
Der Ursprung von RansomHub
Die im Februar 2024 gegründete Gruppe hat die Daten von über 210 Opfern verschlüsselt und exfiltriert, wobei sie sich prominente Partner anderer ransomware Gruppen wie LockBit und ALPHV zunutze macht . Die Operation von RansomHub konzentriert sich auf ein doppeltes Erpressungsmodell, bei dem die Mitglieder Systeme verschlüsseln und Daten exfiltrieren und damit drohen, die gestohlenen Daten zu veröffentlichen, wenn kein Lösegeld gezahlt wird. Die Gruppe ist für ihre Professionalität und technische Raffinesse bekannt.
Ziele
RansomHub's Ziele
Von RansomHub anvisierte Länder
RansomHub hat eine globale Reichweite, mit Opfern hauptsächlich in den Vereinigten Staaten und Europa, und konzentriert sich auf kritische Infrastruktur und Schlüsselindustrien.
Die Gruppe behauptet, dass sie die Gemeinschaft Unabhängiger Staaten (GUS), Kuba, Nordkorea und China nicht ins Visier nimmt, wahrscheinlich weil sie dort sichere Häfen oder rechtlichen Schutz vorfindet.
Quelle der Abbildung: Cyberint
Zielbranchen von RansomHub
RansomHub zielt auf ein breites Spektrum von Branchen ab, wobei die wichtigsten Sektoren Unternehmensdienstleistungen, Einzelhandel und Fertigung sind. Weitere häufig betroffene Branchen sind Bildungsdienste, Behörden, Finanzen, Bauwesen, Gesundheitswesen, Technologie und kritische Infrastrukturen. Die Fokussierung der Gruppe auf kritische Sektoren unterstreicht ihren breiten Aktionsradius, der sowohl für öffentliche als auch für private Einrichtungen eine erhebliche Bedrohung darstellt.
Trotz der Effizienz der Gruppe behaupten sie, dass sie nicht auf gemeinnützige Organisationen abzielen.
Zielbranchen von RansomHub
RansomHub zielt auf ein breites Spektrum von Branchen ab, wobei die wichtigsten Sektoren Unternehmensdienstleistungen, Einzelhandel und Fertigung sind. Weitere häufig betroffene Branchen sind Bildungsdienste, Behörden, Finanzen, Bauwesen, Gesundheitswesen, Technologie und kritische Infrastrukturen. Die Fokussierung der Gruppe auf kritische Sektoren unterstreicht ihren breiten Aktionsradius, der sowohl für öffentliche als auch für private Einrichtungen eine erhebliche Bedrohung darstellt.
Trotz der Effizienz der Gruppe behaupten sie, dass sie nicht auf gemeinnützige Organisationen abzielen.
Die Opfer von RansomHub
Seit dem Auftauchen von RansomHub sind mehr als 324 Organisationen Opfer von RansomHub geworden, wobei der Schwerpunkt auf öffentlichen Infrastrukturen liegt, darunter Gesundheitssysteme und Regierungseinrichtungen. Diese Angriffe unterbrechen lebenswichtige Dienste, was zu erheblichen Betriebsausfällen und hohen Lösegeldforderungen führt.
Angriffsmethode
Die Angriffsmethode von RansomHub
RansomHub-Mitglieder verschaffen sich Zugang über phishing -E-Mails, das Ausnutzen von Sicherheitslücken und das Einschleusen von Passwörtern. Zu den häufig ausgenutzten Schwachstellen gehören CVE-2023-3519 (Citrix ADC), CVE-2023-27997 (Fortinet) und CVE-2020-1472 (Netlogon privilege escalation).
Wenn sie einmal drin sind, erweitern sie ihre Privilegien mit Tools wie Mimikatz und erhalten so die volle Kontrolle über die angegriffenen Systeme.
Sie deaktivieren Sicherheitstools, löschen Protokolle und benennen die ausführbaren Dateien von ransomware so um, dass sie sich in die Systemdateien einfügen und so der Entdeckung entgehen.
Mithilfe von Dumping-Tools für Zugangsdaten und Passwort-Spraying beschaffen sich die Partner administrative Zugangsdaten für den Zugriff auf hochwertige Systeme.
Die Netzwerkerkundung wird mit Tools wie Nmap und PowerShell durchgeführt, um wertvolle Ziele zu identifizieren und weitere Angriffe zu planen.
Die Partner bewegen sich seitlich mit Hilfe von Tools wie Remote Desktop Protocol (RDP), PsExec und AnyDesk und erhalten so Zugang zu weiteren Systemen innerhalb des Netzwerks.
Sensible Daten werden mit Hilfe von Tools wie Rclone und WinSCP exfiltriert, oft zu Zwecken der doppelten Erpressung, bei der die gestohlenen Daten als Druckmittel in Lösegeldverhandlungen eingesetzt werden.
Die ransomware wird im Netzwerk des Opfers ausgeführt und verschlüsselt Dateien mit der elliptischen Kurve 25519.
Die Daten werden über verschlüsselte Protokolle, cloud -Konten oder direkte Übertragungen auf von Angreifern kontrollierte Server exfiltriert.
Die Verschlüsselung von RansomHub macht die Systeme der Opfer funktionsunfähig, was oft zu langen Ausfallzeiten führt. Die Partner löschen Backups und Schattenkopien, um Wiederherstellungsmaßnahmen zu verhindern und den Druck auf die Opfer zu erhöhen, das Lösegeld zu zahlen.
Erster Zugang
RansomHub-Mitglieder verschaffen sich Zugang über phishing -E-Mails, das Ausnutzen von Sicherheitslücken und das Einschleusen von Passwörtern. Zu den häufig ausgenutzten Schwachstellen gehören CVE-2023-3519 (Citrix ADC), CVE-2023-27997 (Fortinet) und CVE-2020-1472 (Netlogon privilege escalation).
Rechte-Eskalation
Wenn sie einmal drin sind, erweitern sie ihre Privilegien mit Tools wie Mimikatz und erhalten so die volle Kontrolle über die angegriffenen Systeme.
Verteidigung Umgehung
Sie deaktivieren Sicherheitstools, löschen Protokolle und benennen die ausführbaren Dateien von ransomware so um, dass sie sich in die Systemdateien einfügen und so der Entdeckung entgehen.
Zugang zu Anmeldeinformationen
Mithilfe von Dumping-Tools für Zugangsdaten und Passwort-Spraying beschaffen sich die Partner administrative Zugangsdaten für den Zugriff auf hochwertige Systeme.
Entdeckung
Die Netzwerkerkundung wird mit Tools wie Nmap und PowerShell durchgeführt, um wertvolle Ziele zu identifizieren und weitere Angriffe zu planen.
Seitliche Bewegung
Die Partner bewegen sich seitlich mit Hilfe von Tools wie Remote Desktop Protocol (RDP), PsExec und AnyDesk und erhalten so Zugang zu weiteren Systemen innerhalb des Netzwerks.
Sammlung
Sensible Daten werden mit Hilfe von Tools wie Rclone und WinSCP exfiltriert, oft zu Zwecken der doppelten Erpressung, bei der die gestohlenen Daten als Druckmittel in Lösegeldverhandlungen eingesetzt werden.
Ausführung
Die ransomware wird im Netzwerk des Opfers ausgeführt und verschlüsselt Dateien mit der elliptischen Kurve 25519.
Exfiltration
Die Daten werden über verschlüsselte Protokolle, cloud -Konten oder direkte Übertragungen auf von Angreifern kontrollierte Server exfiltriert.
Auswirkungen
Die Verschlüsselung von RansomHub macht die Systeme der Opfer funktionsunfähig, was oft zu langen Ausfallzeiten führt. Die Partner löschen Backups und Schattenkopien, um Wiederherstellungsmaßnahmen zu verhindern und den Druck auf die Opfer zu erhöhen, das Lösegeld zu zahlen.
MITRE ATT&CK Kartierung
Von RansomHub verwendete TTPs
TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
No items found.
TA0005: Defense Evasion
T1562
Impair Defenses
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
No items found.
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
No items found.
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1048
Exfiltration Over Alternative Protocol
TA0040: Impact
T1486
Data Encrypted for Impact
Plattform-Detektionen
So erkennen Sie RansomHub mit Vectra AI
Häufig gestellte Fragen
Welche Branchen sind die Hauptzielgruppen von RansomHub?
RansomHub greift kritische Infrastrukturbereiche wie das Gesundheitswesen, Finanzdienstleistungen und Regierungseinrichtungen an.
Welche Länder sind am meisten von RansomHub betroffen?
Die Gruppe zielt in erster Linie auf Organisationen in den Vereinigten Staaten und Europa ab und meidet die GUS-Länder, Kuba, Nordkorea und China.
Wie verschafft sich RansomHub den ersten Zugang?
Affiliates nutzen bekannte Schwachstellen aus, verwenden phishing Angriffe und setzen gestohlene Zugangsdaten ein, um in Systeme einzudringen.
Was sind die Methoden von RansomHub zur Datenexfiltration?
Sie verwenden Tools wie Rclone und WinSCP, um sensible Daten über verschlüsselte Kanäle zu exfiltrieren.
Wie erweitert RansomHub die Privilegien innerhalb eines Netzwerks?
Affiliates verwenden Tools wie Mimikatz, um Anmeldedaten zu extrahieren und sich auf Systemebene zu privilegieren.
Welche Verschlüsselungsmethode verwendet RansomHub?
Die Partner von RansomHub verwenden die elliptische Kurve 25519, um die Dateien der Opfer zu verschlüsseln.
Wie entgehen die RansomHub-Partner der Entdeckung?
Sie deaktivieren Sicherheitsprogramme, löschen Protokolle und benennen die ausführbaren Dateien von ransomware um, um sie mit legitimen Dateien zu verwechseln.
Welche Werkzeuge verwendet RansomHub für die seitliche Bewegung?
Tools wie Remote Desktop Protocol (RDP), AnyDesk und PsExec werden verwendet, um sich seitlich in kompromittierten Netzwerken zu bewegen.
Welche Strategien zur Schadensbegrenzung können helfen, RansomHub-Angriffe zu verhindern?
Die Implementierung einer phishing-resistenten Multi-Faktor-Authentifizierung (MFA), das Patchen von Schwachstellen und die Segmentierung von Netzwerken sind wichtige Strategien zur Eindämmung.
Was sind die Auswirkungen eines RansomHub-Angriffs?
Die Opfer erleben oft erhebliche Ausfallzeiten und Datenverluste aufgrund der Verschlüsselung und der Löschung von Sicherungskopien, was zu einer Lähmung des Betriebs und hohen Lösegeldforderungen führt.