Peneliti cybersecurity telah mengungkapkan bahwa infrastruktur online Ransomhub telah “tidak dapat dijelaskan secara offline pada 1 April 2025, mendorong kekhawatiran di antara afiliasi operasi ransomware-as-a-service (RAAS).
Perusahaan Cybersecurity Singapura Group-IB mengatakan bahwa ini mungkin telah menyebabkan afiliasi bermigrasi ke Qilin, mengingat bahwa “pengungkapan pada DLS-nya [data leak site] telah berlipat ganda sejak Februari. ”
Ransomhub, yang pertama kali muncul pada Februari 2024, diperkirakan telah mencuri data dari lebih dari 200 korban. Ini menggantikan dua kelompok RAAS profil tinggi, Lockbit dan Blackcat, untuk menjadi pelopor, meraih afiliasi mereka, termasuk Spider dan Evil Corp yang tersebar, dengan pemisahan pembayaran yang menguntungkan.
“Mengikuti kemungkinan akuisisi aplikasi web dan kode sumber ransomware dari Knight (sebelumnya Cyclops), RansomHub dengan cepat naik di kancah ransomware, berkat fitur dinamis dari enkriptor multi-platformnya dan model yang agresif dan ramah afiliasi yang menawarkan pendaratan keuangan yang substansial,” kata kelompok-II dalam sebuah laporan.
Ransomware Ransomhub dirancang untuk bekerja di Windows, Linux, FreeBSD, dan ESXI serta pada arsitektur X86, X64, dan ARM, sambil menghindari perusahaan penyerang yang berlokasi di Commonwealth of Independent States (CIS), Kuba, Korea Utara, dan Cina. Ini juga dapat mengenkripsi sistem file lokal dan jarak jauh melalui SMB dan SFTP.
Panel afiliasi, yang digunakan untuk mengonfigurasi ransomware melalui antarmuka web, fitur bagian “anggota” khusus di mana anggota grup afiliasi diberikan opsi untuk membuat akun mereka sendiri di perangkat.
Afiliasi juga telah dilengkapi dengan modul “pembunuh” setidaknya pada setidaknya Juni 2024 untuk mengakhiri dan memotong perangkat lunak keamanan menggunakan Driver Rentan yang Dikenal (BYOVD). Namun, alat ini telah dihentikan karena tingkat deteksi yang tinggi.
Persentir dan tren mikro, serangan cyber juga telah diamati memanfaatkan malware javascript yang dikenal sebagai Socgholish (alias FakeUpdates) melalui situs WordPress yang dikompromikan untuk menggunakan pintu belakang berbasis Python yang terhubung dengan afiliasi ransomhub.
“Pada tanggal 25 November, operator kelompok itu merilis catatan baru di panel afiliasi mereka yang mengumumkan bahwa serangan terhadap lembaga pemerintah mana pun dilarang secara ketat,” kata perusahaan itu. “Oleh karena itu, semua afiliasi diundang untuk menahan diri dari tindakan seperti itu karena risiko tinggi dan 'pengembalian investasi yang tidak menguntungkan.'”
Rantai peristiwa setelah downtime infrastruktur Ransomhub, per Guidepoint Security, telah menyebabkan “kerusuhan afiliasi,” dengan kelompok saingan Raas Dragonforce yang mengklaim di forum ramp bahwa Ransomhub “memutuskan untuk pindah ke infrastruktur kami” di bawah kartel ransomware “Dragonforce Dragonforce.”
Perlu dicatat bahwa aktor RAAS lain bernama Blacklock juga dinilai telah mulai berkolaborasi dengan Dragonforce setelah yang terakhir merusak situs kebocoran data pada akhir Maret 2025.
“Diskusi -diskusi di forum -forum ramp ini menyoroti lingkungan yang tidak pasti bahwa afiliasi RansomHub tampaknya berada di saat ini, tampaknya tidak menyadari status kelompok dan status mereka sendiri di tengah -tengah 'pengambilalihan' potensial,” kata Guidepoint Security.
“Masih harus dilihat apakah ketidakstabilan ini akan mengeja awal dari akhir untuk Ransomhub, meskipun kami tidak dapat membantu tetapi mencatat bahwa kelompok yang naik menjadi terkenal dengan stabilitas dan keamanan yang menjanjikan untuk afiliasi mungkin sekarang gagal atau mengkhianati afiliasi pada kedua hal tersebut.”
SecureWorks Counter Ancaman Unit (CTU), yang juga telah melacak rebrand Dragonforce sebagai “kartel,” kata upaya tersebut adalah bagian dari model bisnis baru yang dirancang untuk menarik afiliasi dan meningkatkan keuntungan dengan memungkinkan afiliasi untuk membuat “merek” mereka sendiri.
Ini berbeda dari skema RAAS tradisional di mana pengembang inti membuat infrastruktur web gelap dan merekrut afiliasi dari cybercrime underground, yang kemudian melakukan serangan setelah mendapatkan akses ke jaringan target dari broker akses awal (IAB) dengan imbalan 70% dari pembayaran tebusan.
“Dalam model ini, Dragonforce menyediakan infrastruktur dan alatnya tetapi tidak mengharuskan afiliasi untuk menggunakan ransomware-nya,” kata perusahaan milik Sophos. “Fitur yang diiklankan termasuk panel administrasi dan klien, enkripsi dan alat negosiasi tebusan, sistem penyimpanan file, situs kebocoran berbasis TOR dan domain .onion, dan layanan dukungan.”
Kelompok ransomware lain yang merangkul taktik baru adalah Anubis, yang muncul pada bulan Februari 2025 dan menggunakan opsi “tebusan data” hanya pemerasan untuk memberikan tekanan pada para korban dengan mengancam untuk mempublikasikan “artikel investigasi” yang berisi analisis data yang dicuri dan menginformasikan otoritas peraturan atau kepatuhan tentang insiden tersebut.
“Ketika ekosistem ransomware terus melenturkan dan beradaptasi, kami melihat eksperimen yang lebih luas dengan model operasi yang berbeda,” kata Rafe Pilling, direktur ancaman intelijen di SecureWorks CTU. “Lockbit telah menguasai skema afiliasi tetapi setelah tindakan penegakan terhadap mereka, tidak mengherankan melihat skema dan metode baru yang dicoba dan diuji.”
Pengembangan bertepatan dengan kemunculan keluarga ransomware baru yang disebut Elenor-Corp, varian dari ransomware mimic, yang secara aktif menargetkan organisasi perawatan kesehatan setelah memanen kredensial menggunakan python yang dapat dieksekusi yang mampu mencuri konten clipboard.
“Varian Elenor-Corp dari Mimic Ransomware menunjukkan peningkatan dibandingkan dengan versi sebelumnya, menggunakan langkah-langkah anti-forensik yang canggih, perusakan proses, dan strategi enkripsi,” kata peneliti Morphisec Michael Gorelik.
“Analisis ini menyoroti kecanggihan yang berkembang dari serangan ransomware, menekankan perlunya pertahanan proaktif, respons insiden cepat, dan strategi pemulihan yang kuat dalam industri berisiko tinggi seperti perawatan kesehatan.”
Anubis and ELENOR-corp are among a fresh crop of ransomware actors that have energized the landscape, even as the persistent threat is showing signs of splintering into smaller groups and frequently rebranding themselves to evade scrutiny and maintain operational continuity, reflecting a “broader shift toward stealth and flexibility” –
- Crazyhunteryang menargetkan sektor perawatan kesehatan, pendidikan, dan industri Taiwan dan menggunakan teknik BYOVD untuk menghindari langkah-langkah keamanan melalui alat open-source bernama Zammocide
- Elysiumvarian baru dari keluarga ransomware hantu (alias Cring) yang mengakhiri daftar layanan yang dikodekan dengan keras, menonaktifkan cadangan sistem, menghapus salinan bayangan, dan memodifikasi kebijakan status boot untuk membuat pemulihan sistem lebih sulit
- KABUTyang telah menyalahgunakan nama Departemen Efisiensi Pemerintah AS (DOGE), dan orang-orang yang terhubung dengan Inisiatif Pemerintah dalam serangan email dan phishing untuk mendistribusikan file-file ZIP yang ber-malware yang mengirimkan ransomware
- Perempuan cerewetyang telah mengeksploitasi kerentanan zero-day, seperti yang ada di Atlassian Jira, untuk mendapatkan akses awal
- Pemburu Internasionalyang telah berganti nama dan meluncurkan operasi hanya pemerasan yang dikenal sebagai kebocoran dunia dengan memanfaatkan program exfiltration data yang dipesan lebih dahulu
- Berpautyang telah memanfaatkan strategi clickfix yang terkenal untuk memulai rantai serangan multi-tahap yang menyebarkan muatan ransomware, di samping pintu belakang yang disebut Interlock Rat dan Stealers seperti Lumma dan BerserkStealer
- Qilinyang telah menggunakan email phishing yang menyamar sebagai peringatan otentikasi screenconnect untuk melanggar penyedia layanan terkelola (MSP) menggunakan kit phishing AITM dan meluncurkan serangan ransomware pada pelanggannya (dikaitkan dengan afiliasi bernama STAC4365)
Kampanye ini berfungsi untuk menyoroti sifat ransomware yang terus berkembang dan menunjukkan kemampuan aktor ancaman untuk berinovasi dalam menghadapi gangguan penegakan hukum dan kebocoran.
Memang, analisis baru dari 200.000 pesan obrolan Basta hitam internal oleh Forum Respons Insiden dan Tim Keamanan (pertama) telah mengungkapkan bagaimana kelompok ransomware melakukan operasinya, fokus pada teknik rekayasa sosial canggih dan mengeksploitasi kerentanan VPN.
“Seorang anggota yang dikenal sebagai 'NUR' bertugas mengidentifikasi target utama dalam organisasi yang ingin mereka serang,” kata pertama. “Begitu mereka menemukan seseorang yang berpengaruh (seperti manajer atau personel SDM), mereka memulai kontak melalui panggilan telepon.”
