Ransomware RansomHub

Les analystes en cybersécurité ont découvert une nouvelle souche de ransomware nommée RansomHub. Selon certaines informations, les cybercriminels à l'origine de ce projet affirment qu'ils ne cibleront pas les entités des pays de la Communauté des États indépendants (CEI), de Cuba, de la Corée du Nord et de la Chine. Malgré cette déclaration, ils ont activement infecté plusieurs organisations de premier plan en peu de temps. Parmi leurs victimes figurent Change Healthcare, Christie's et Frontier Communications. Les chercheurs soulignent notamment que RansomHub présente une ressemblance significative avec Knight Ransomware , qui est une itération du ransomware précédemment identifié appelé Cyclops .

Le code Knight Ransomware a été proposé à la vente à tous les cybercriminels

Le Knight Ransomware, également connu sous le nom de Cyclops 2.0, est apparu en mai 2023, utilisant des techniques de double extorsion pour voler et crypter les données des victimes à des fins lucratives. Il est capable de fonctionner sur diverses plates-formes, notamment Windows, Linux, macOS, ESXi et Android.

Vendues sur le forum de cybercriminalité RAMP, les attaques avec ce ransomware reposaient souvent sur des tactiques de phishing et de spear phishing, utilisant des pièces jointes frauduleuses pour la distribution. L’opération Ransomware-as-a-Service (RaaS) a pris fin fin février 2024 et son code source a été mis en vente. Cette décision a soulevé la possibilité d'un transfert vers un nouvel acteur, qui l'aurait peut-être mis à jour et relancé sous le nom de RansomHub.

Chevauchements importants entre RansomHub et Knight Ransomware

Les deux souches de ransomwares sont écrites en Go, et la plupart des versions de chaque famille sont masquées par Gobfuscate. Il existe un degré important de similitude de code entre les deux, ce qui rend difficile leur distinction.

Les deux familles de ransomwares partagent des menus d’aide identiques sur l’interface de ligne de commande. Cependant, RansomHub introduit une nouvelle option « veille », lui permettant de rester inactif pendant une période spécifiée (en minutes) avant de s'exécuter. Des commandes de veille similaires ont été observées dans d'autres menaces comme Chaos / Yashma et Trigona Ransomware.

Les similitudes entre Knight et RansomHub s'étendent aux techniques d'obscurcissement utilisées pour coder les chaînes, au contenu des notes de rançon laissées après le chiffrement des fichiers et à leur capacité à redémarrer un hôte en mode sans échec avant le début du chiffrement.

La principale différence réside dans l'ensemble des commandes exécutées via cmd.exe, bien que leur séquence et leur exécution par rapport aux autres opérations restent les mêmes.

Le RansomHub Ransomware peut être exploité par des cybercriminels vétérans

Des attaques RansomHub ont été observées exploitant des vulnérabilités de sécurité connues (telles que ZeroLogon ) pour obtenir un accès initial. Ils abandonnent les logiciels de bureau à distance comme Atera et Splashtop avant de déployer un ransomware. Rien qu’en avril 2024, près de 30 attaques confirmées ont été liées à cette souche de ransomware.

Les chercheurs soupçonnent que RansomHub recherche activement des affiliés touchés par des fermetures récentes ou des tactiques de sortie, comme celles de LockBit et BlackCat (également connues sous les noms d'ALPHV et Noberus). On pense qu'un ancien affilié de Noberus appelé Notchy pourrait désormais collaborer avec RansomHub. De plus, des outils précédemment associés à un autre affilié de Noberus, Scattered Spider, ont été utilisés lors d'une récente attaque RansomHub.

L'expansion rapide des opérations de RansomHub suggère que le groupe pourrait être composé d'opérateurs chevronnés possédant une expérience et des connexions dans le cyber-underground.

Les attaques de ransomwares sont à nouveau en hausse

Le développement de RansomHub intervient dans un contexte d’augmentation de l’activité des ransomwares en 2023, après une légère diminution en 2022. Il est intéressant de noter qu’environ un tiers des 50 nouvelles familles de ransomwares découvertes au cours de l’année sont des variantes de celles précédemment identifiées. Cette tendance suggère une prévalence croissante du recyclage de codes, des chevauchements d’acteurs et des stratégies de rebranding.

Ces attaques se distinguent par leur utilisation d'outils de bureau à distance légitimes et disponibles dans le commerce plutôt que de s'appuyer sur Cobalt Strike . Le recours croissant à de tels outils légitimes indique probablement les efforts des attaquants pour échapper aux mécanismes de détection et rationaliser leurs opérations, réduisant ainsi le besoin de développer et de maintenir des outils personnalisés.

La note de rançon que les victimes du RansomHub Ransomware recevront se lit comme suit :

'Hello!

Visit our Blog:

Tor Browser Links:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion/

Links for normal browser:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion.ly/

>>> Your data is stolen and encrypted.

- If you don't pay the ransom, the data will be published on our TOR darknet sites. Keep in mind that once your data appears on our leak site, it could be bought by your competitors at any second, so don't hesitate for a long time. The sooner you pay the ransom, the sooner your company will be safe.

>>> If you have an external or cloud backup; what happens if you don’t agree with us?

- All countries have their own PDPL (Personal Data Protection Law) regulations. In the event that you do not agree with us, information pertaining to your companies and the data of your company’s customers will be published on the internet, and the respective country’s personal data usage authority will be informed. Moreover, confidential data related to your company will be shared with potential competitors through email and social media. You can be sure that you will incur damages far exceeding the amount we are requesting from you should you decide not to agree with us.

>>> Don't go to the police or the FBI for help and don't tell anyone that we attacked you.

- Seeking their help will only make the situation worse,They will try to prevent you from negotiating with us, because the negotiations will make them look incompetent,After the incident report is handed over to the government department, you will be fined ,The government uses your fine to reward them.And you will not get anything, and except you and your company, the rest of the people will forget what happened!!!!!

>>> How to contact with us?

- Install and run 'Tor Browser' from hxxps://www.torproject.org/download/
- Go to hxxp://h6tejafqdkdltp****************seslv6djgiukiii573xtid.onion/
- Log in using the Client ID: -

>>> WARNING

DO NOT MODIFY ENCRYPTED FILES YOURSELF.
DO NOT USE THIRD PARTY SOFTWARE TO RESTORE YOUR DATA.
YOU MAY DAMAGE YOUR FILES, IT WILL RESULT IN PERMANENT DATA LOSS.'