RansomHub Ransomware zielt auf 210 Opfer seit Februar 2024
Wie aus jüngsten Berichtenist die RansomHub Ransomware seit der Gründung der Gruppe im Februar 2024 Daten von mindestens 210 Opfern gestohlen. Die Opfer dieser Angriffe kommen aus verschiedenen Branchen. In diesem Artikel gehen wir auf alle Details ein und erfahren mehr über die Angriffe. Fangen wir an!
Verstehen RansomHub Ransomware
RansomHub ist eine Ransomware-as-a-Service-Plattform (RaaS), die von Cyclops und Knight abstammt. Die Gruppe hat Partner aus anderen Ransomware-Varianten wie LockBit und ALPHV, auch bekannt als BlackCat, angezogen. In einer aktuellen Analyse hat ZeroFox festgestellt, dass die RansomHub Ransomware RansomHub-Ransomware auf einem Aufwärtstrend befindet.
Den verfügbaren Informationen zufolge machen ihre Angriffe etwa 2 % aller Ransomware-Angriffe im ersten Quartal 2024 aus, 5,1 % im zweiten Quartal und bisher 14,2 % im dritten Quartal. Ein Kommentar zu den Zielen, ein Auszug aus dem Bericht lautet:
"Ungefähr 34 % der RansomHub-Angriffe zielten auf Unternehmen in Europa ab, verglichen mit 25 % in der gesamten Bedrohungslandschaft".
Es ist erwähnenswert, dass die Schlüsselsektoren, die von der RansomHub Ransomware Angriffe sind:
- Wasser und Abwasser.
- Informationstechnologie.
- Staatliche Dienstleistungen und Einrichtungen.
- Gesundheitswesen und öffentliche Gesundheit.
- Notfalldienste.
- Ernährung und Landwirtschaft.
- Finanzdienstleistungen.
- Kommerzielle Einrichtungen.
- Kritische Fertigung.
- Transport.
- Kritische Kommunikationsinfrastrukturen.
RansomHub Cyber-Angriffe Methodik
Was die Angriffsmethodik betrifft, so ist die RansomHub Ransomware sind Hacker dafür bekannt, dass sie eine doppelte Erpressungstechnik anwenden. Diese Bedrohung Akteure exfiltrieren Daten und dann verschlüsseln die kompromittierten Systeme. Die Opfer der RansomHub Ransomware Angriffe werden dann aufgefordert, den Betreiber über eine eindeutige .onion-URL zu kontaktieren.
Wer sich weigert, das Lösegeld zu zahlen, riskiert, dass seine Daten für drei bis neunzig Tage auf einer Datenleckseite veröffentlicht werden. Um sich den ersten Zugang zu verschaffen, nutzen die Bedrohungsakteure verschiedene bekannte Schwachstellen aus, darunter:
- Apache ActiveMQ (CVE-2023-46604).
- Atlassian Confluence Data Center und Server (CVE-2023-22515).
- Citrix ADC (CVE-2023-3519).
- F5 BIG-IP (CVE-2023-46747).
- Fortinet FortiOS (CVE-2023-27997).
- Fortinet FortiClientEMS (CVE-2023-48788).
Nachdem sie sich Zugang verschafft haben, führen die Mitglieder Aufklärungsmaßnahmen durch und scannen das Netzwerk mit Tools wie AngryIPScanner und Nmap. Darüber hinaus wird während einer RansomHub-Ransomware RansomHub-Ransomware-Angriffs deaktivieren die Hacker außerdem Antiviren-Software mit Hilfe spezieller Tools. Die Gruppe verwendet auch intermittierende Verschlüsselung, um den Prozess zu beschleunigen.
Es ist erwähnenswert, dass die Datenexfiltration in einer RansomHub Ransomware Angriff mit verschiedenen Tools durchgeführt werden kann, darunter:
- PuTTY.
- Amazon AWS S3-Buckets.
- HTTP POST-Anfragen.
- WinSCP.
- Rclone.
- Cobalt Strike.
- Metasploit.
Die komplexen Angriffstaktiken der Gruppe sind ein wichtiger Hinweis auf die Entwicklung, die Ransomware-Angriffe durchlaufen. Unter eine Schutzstrategie zu entwickelnUm eine Schutzstrategie zu entwickeln, müssen Unternehmen verstehen, dass derartige Angriffe jetzt vielschichtige Erpressungsstrategien nutzen. Daher ist es wichtig, alle Aspekte des Netzwerks und der Geräte zu identifizieren und zu sichern, um das Risiko zu senken und Schutz zu gewährleisten.
Schlussfolgerung
Der rasante Aufstieg von RansomHub verdeutlicht die zunehmende Raffinesse von Ransomware-Angriffen, die auf doppelte Erpressung setzen und weltweit kritische Infrastrukturen ins Visier nehmen. Unternehmen müssen der Sicherung von Schwachstellen, der Verbesserung der Bedrohungserkennung und der Implementierung robuste Schutzstrategien. Proaktivität und Wachsamkeit sind entscheidend, um die Risiken von Ransomware-Bedrohungen wie RansomHub zu minimieren.
Zu den Quellen für diesen Beitrag gehören Artikel in den Hacker-Nachrichten und Bleeping Computer.