The threat actors behind the RansomHub ransomware-as-a-service (RaaS) scheme have been observed leveraging now-patched security flaws in Microsoft Active Directory and the Netlogon protocol to escalate privileges and gain unauthorized access to a victim network's domain controller as part of Strategi pasca-kompromi mereka.
“Ransomhub telah menargetkan lebih dari 600 organisasi secara global, mencakup sektor-sektor seperti perawatan kesehatan, keuangan, pemerintah, dan infrastruktur kritis, dengan tegas menetapkannya sebagai kelompok ransomware paling aktif pada tahun 2024,” kata analis grup-IB dalam laporan lengkap yang diterbitkan minggu ini.
Ransomware Group pertama kali muncul pada Februari 2024, memperoleh kode sumber yang terkait dengan Geng Raas Knight (sebelumnya Cyclops) yang sekarang sudah tidak ada (sebelumnya Cyclops) dari Forum Jalan Cyber Cyber untuk mempercepat operasinya. Sekitar lima bulan kemudian, versi yang diperbarui dari loker diiklankan di pasar ilegal dengan kemampuan untuk mengenkripsi data dari jarak jauh melalui protokol SFTP.
Muncul dalam beberapa varian yang mampu mengenkripsi file pada server Windows, VMware ESXI, dan SFTP. Ransomhub juga telah diamati secara aktif merekrut afiliasi dari kelompok Lockbit dan Blackcat sebagai bagian dari program kemitraan, yang menunjukkan upaya untuk memanfaatkan tindakan penegakan hukum yang menargetkan saingannya.
Dalam insiden yang dianalisis oleh perusahaan cybersecurity Singapura, aktor ancaman dikatakan tidak berhasil mengeksploitasi cacat kritis yang berdampak pada perangkat Palo Alto Pan-OS (CVE-2024-3400) menggunakan pembuktian konsep yang tersedia secara publik (POC (POC (CVE-2024-3400) menggunakan pembuktian publik yang tersedia secara publik (POC (POC (CVE-2024-3400) di depan umum (POC (CVE-2024-3400) menggunakan pembuktian publik (CVE-2024-3400) di depan umum (POC (CVE-2024-3400) di depan umum (POC CVE-2024-3400) di depan umum (POC CVE-2024-3400) di depan umum secara publik ), sebelum akhirnya melanggar jaringan korban dengan menggunakan serangan brute-force terhadap layanan VPN.
“Upaya brute force ini didasarkan pada kamus yang diperkaya lebih dari 5.000 nama pengguna dan kata sandi,” kata para peneliti. “Penyerang akhirnya mendapatkan akses melalui akun default yang sering digunakan dalam solusi cadangan data, dan perimeter akhirnya dilanggar.”
Akses awal kemudian disalahgunakan untuk melakukan serangan ransomware, dengan enkripsi data dan eksfiltrasi terjadi dalam waktu 24 jam dari kompromi.
Khususnya, itu melibatkan persenjataan dari dua kelemahan keamanan yang diketahui di Active Directory (CVE-2021-42278 alias NOPAC) dan protokol Netlogon (CVE-2020-1472 alias Zerologon) untuk mengambil kendali pengontrol domain dan melakukan gerakan lateral di seluruh jaringan .
“Eksploitasi kerentanan yang disebutkan di atas memungkinkan penyerang untuk mendapatkan akses istimewa ke pengontrol domain, yang merupakan pusat saraf infrastruktur berbasis Microsoft Windows,” kata para peneliti.
“Setelah penyelesaian operasi eksfiltrasi, penyerang menyiapkan lingkungan untuk fase akhir serangan. Penyerang beroperasi untuk membuat semua data perusahaan, disimpan pada berbagai NAS, sama sekali tidak dapat dibaca dan tidak dapat diakses, serta tidak diizinkan untuk memulihkan, dengan Tujuan memaksa korban membayar tebusan untuk mendapatkan data mereka kembali. “
Aspek penting lain dari serangan itu adalah penggunaan pchunter untuk menghentikan dan memotong solusi keamanan titik akhir, serta FileZilla untuk exfiltration data.
“Asal usul kelompok Ransomhub, operasi ofensifnya, dan karakteristik yang tumpang tindih dengan kelompok lain mengkonfirmasi adanya ekosistem kejahatan dunia maya yang jelas,” kata para peneliti.
“Lingkungan ini tumbuh subur pada pembagian, penggunaan kembali, dan rebranding alat dan kode sumber, memicu pasar bawah tanah yang kuat di mana para korban profil tinggi, kelompok terkenal, dan sejumlah besar uang memainkan peran sentral.”
Perkembangan ini terjadi ketika perusahaan keamanan siber merinci cara kerja dalam “operator RAAS yang tangguh” yang dikenal sebagai Lynx, menjelaskan alur kerja afiliasi mereka, arsenal ransomware lintas-platform mereka untuk lingkungan Windows, Linux, dan ESXI, dan mode enkripsi yang dapat disesuaikan.
Analisis versi Windows dan Linux ransomware menunjukkan bahwa itu sangat mirip dengan Ransomware Inc, menunjukkan bahwa aktor ancaman kemungkinan memperoleh kode sumber yang terakhir.
“Afiliasi diberi insentif dengan 80% dari hasil tebusan, mencerminkan strategi kompetitif yang digerakkan oleh perekrutan,” katanya. “Lynx baru-baru ini menambahkan beberapa mode enkripsi: 'Fast,' 'Medium,' 'Slow,' dan 'Seluruh,' memberi afiliasi kebebasan untuk menyesuaikan pertukaran antara kecepatan dan kedalaman enkripsi file.”
“Pos Perekrutan Grup di Forum Bawah Tanah Menekankan proses verifikasi yang ketat untuk pentester dan tim intrusi yang terampil, menyoroti penekanan Lynx pada keamanan operasional dan kontrol kualitas. Mereka juga menawarkan 'pusat panggilan' untuk melecehkan korban dan solusi penyimpanan canggih untuk afiliasi yang secara konsisten memberikan yang menguntungkan 'yang menguntungkan' yang menguntungkan secara konsisten secara konsisten 'menguntungkan secara konsisten secara konsisten secara konsisten secara konsisten secara konsisten menguntungkan secara konsisten secara konsisten secara konsisten secara konsisten secara konsisten secara konsisten hasilnya. “
Dalam beberapa minggu terakhir, serangan yang termotivasi secara finansial juga telah diamati menggunakan malware botnet Phorpiex (alias Trik) yang disebarkan melalui email phishing untuk mengirimkan ransomware Lockbit.
“Berbeda dengan insiden ransomware Lockbit masa lalu, para aktor ancaman mengandalkan Phorpiex untuk mengirimkan dan mengeksekusi ransomware Lockbit,” Cybereason mencatat dalam sebuah analisis. “Teknik ini unik karena penyebaran ransomware biasanya terdiri dari operator manusia yang melakukan serangan.”
Vektor infeksi awal yang signifikan lainnya menyangkut eksploitasi peralatan VPN yang tidak ditandingi (misalnya, CVE-2021-20038) untuk mendapatkan akses ke perangkat dan host jaringan internal dan pada akhirnya menggunakan ransomware loker ABSSS.
Serangan -serangan itu juga ditandai dengan penggunaan alat tunneling untuk mempertahankan kegigihan, serta memanfaatkan teknik Driver Rentan (BYOVD) Anda sendiri untuk menonaktifkan kontrol perlindungan titik akhir.
“Setelah mendapatkan akses ke lingkungan dan melakukan pengintaian, alat tunneling ini digunakan secara strategis pada perangkat jaringan yang kritis, termasuk host ESXI, host Windows, peralatan VPN, dan perangkat penyimpanan yang terpasang jaringan (NAS),” kata peneliti Sygnia.
“Dengan menargetkan perangkat ini, para penyerang memastikan saluran komunikasi yang kuat dan andal untuk mempertahankan akses dan mengatur aktivitas berbahaya mereka di seluruh jaringan yang dikompromikan.”
Lanskap ransomware – dipimpin oleh aktor ancaman baru dan lama – terus tetap dalam keadaan fluks, dengan serangan berputar dari enkripsi tradisional ke pencurian dan pemerasan data, bahkan ketika para korban semakin menolak untuk membayar, yang mengarah ke penurunan pembayaran pada tahun 2024 .
“Kelompok -kelompok seperti Ransomhub dan Akira sekarang memberi insentif data curian dengan hadiah besar, membuat taktik ini cukup menguntungkan,” kata perusahaan cybersecurity Huntress.
