>
Research (Insikt)

RansomHub lockt Partner mit Multi-OS-Fähigkeit und hohen Provisionssätzen

Veröffentlicht: 20. Juni 2024
Von: Insikt Group®

insikt-group-logo-aktualisiert-3-300x48.png

RansomHub, eine neue Ransomware-as-a-Service (RaaS) -Plattform, entstand im Februar 2024 und zielt mit in Go und C++ geschriebener Malware auf Windows-, Linux- und ESXi-Systeme ab. Die hohe Provisionsrate von 90 % zieht erfahrene Partner an, was zu einem Anstieg der Infektionen führt. Die mit RansomHub verbundenen Unternehmen hatten in 18 Ländern 45 Opfer zu beklagen, wobei sie vor allem den IT-Sektor ins Visier nahmen. Die Ransomware nutzt Cloud-Speicher-Backups und falsch konfigurierte Amazon S3-Instanzen, um Opfer zu erpressen. Die Insikt Group hat Code-Überschneidungen mit ALPHV und Knight Ransomware festgestellt, was auf mögliche Verbindungen hindeutet. Für Organisationen werden sofortige und langfristige Sicherheitsmaßnahmen empfohlen.

RansomHub lockt Partner mit Multi-OS-Fähigkeit und hohen Provisionssätzen

RansomHub ist ein neuer Ransomware-as-a-Service (RaaS), der erstmals Anfang Februar 2024 beworben wurde. RansomHub wurde erstmals von einem Benutzer namens „koley“ im Untergrundforum Ramp beworben und erregte aufgrund seiner vielseitigen, in Go und C++ geschriebenen Malware schnell Aufmerksamkeit. Diese Ransomware zielt auf Windows-, Linux- und ESXi-Systeme ab, eine Funktion, die den Kreis potenzieller Opfer erheblich erweitert. Solche Angriffe auf mehrere Betriebssysteme stehen im Einklang mit einem allgemeinen Trend: Die Zahl der Schadsoftware, die auf verschiedene Betriebssysteme abzielt, hat sich zwischen 2022 und 2023 versiebenfacht.

RansomHub bietet seinen Partnern eine Provisionsrate von 90 %, die am oberen Ende der im RaaS-Markt üblichen Spanne von 80–90 % liegt. Dieser lukrative Tarif lockt wahrscheinlich erfahrene Partner von anderen Plattformen an, was zu einem Anstieg der Zahl der RansomHub-bezogenen Infektionen und Opfer führen wird.

Seit seiner Einführung hat RansomHub 45 Opfer in 18 Ländern gefordert, wobei der IT-Sektor am häufigsten betroffen war. Dieses Muster lässt darauf schließen, dass die mit RansomHub verbundenen Unternehmen auf „Großwildjagd“ gehen. Dabei konzentrieren sich die Angreifer auf hochwertige Ziele, die aufgrund der schwerwiegenden finanziellen Auswirkungen von Betriebsausfällen eher bereit sind, hohe Lösegeldsummen zu zahlen.

In einem bemerkenswerten Vorfall nutzten RansomHub-Partner falsch konfigurierte Amazon S3-Instanzen, um nicht nur auf Backups ihres primären Ziels, sondern auch auf Backups anderer Kunden zuzugreifen, die denselben Backup-Anbieter verwendeten. Mit dieser Taktik konnten sie den Anbieter der Backup-Lösungen erpressen, indem sie mit der Weitergabe von Kundendaten drohten und so das Vertrauensverhältnis zwischen Anbieter und Kunde ausnutzten. Kürzlich machte RansomHub auf sich aufmerksam, weil es 4 TB an Daten verkaufte, die es von Change Healthcare, einem in den USA ansässigen Unternehmen für Gesundheitstechnologie, gestohlen hatte.

Die Analyse der Insikt Group ergab Code-Überschneidungen zwischen RansomHub und anderen Ransomware-Gruppen wie ALPHV (BlackCat) und Knight Ransomware. Diese Ähnlichkeiten deuten auf mögliche Verbindungen oder gemeinsame Ressourcen zwischen diesen Gruppen hin. Die Strategie von RansomHub, Passwörter zum Entschlüsseln eingebetteter Konfigurationen zu verwenden, macht es für Bedrohungsforscher schwierig, die Malware dynamisch zu analysieren.

Die ESXi-Version von RansomHub verwendet eine einzigartige Taktik, indem sie eine Datei mit dem Namen /tmp/app.pid erstellt, um zu verhindern, dass mehrere Instanzen gleichzeitig ausgeführt werden. Das Ändern dieser Datei kann den Betrieb der Ransomware stoppen, was eine potenzielle Strategie zur Risikominderung für betroffene Systeme darstellt.

Gegenmaßnahmen

Insikt Group hat YARA- und Sigma-Regeln erstellt, mit denen das Vorhandensein oder die Ausführung von RansomHub-Ransomware-Dateien in Ihrer Umgebung erkannt werden kann. Diese Regeln gelten für ESXi-, Linux- und Windows-Varianten. Darüber hinaus können Analysten die Endpunktprotokollierung nach Befehlszeilenaufrufen durchsuchen, die von RansomHub verwendet werden, um virtuelle Maschinen (VMs) zu stoppen, Schattenkopien zu löschen und den Internet Information Service (IIS)-Dienst zu stoppen.

  • powershell.exe -Befehl PowerShell -Befehl "Get-VM | Stop-VM -Force"
  • cmd.exe /c iisreset.exe /stop
  • powershell.exe -Befehl PowerShell -Befehl "Get-CimInstance Win32_ShadowCopy | Remove-CimInstance""

Zusätzlich zu den oben genannten Erkennungen sollten die folgenden allgemeinen Empfehlungen befolgt werden, um das Risiko von Ransomware-Infektionen wirksam zu reduzieren

  • Netzwerkisolierung: Segmentieren Sie Ihr Netzwerk, um die seitliche Ausbreitung von Ransomware einzuschränken.
  • SIEM: Implementieren Sie Security Information and Event Management für eine zentrale Protokollierung und Erkennung.
  • Endpunkterkennung: Verwenden Sie Endpoint Detection and Response (EDR)-Dienste mit YARA- und Sigma-Regeln.
  • Zugriff mit geringsten Berechtigungen: Implementieren Sie den Zugriff mit geringsten Berechtigungen und eine Multi-Faktor-Authentifizierung für Remote-Zugriffsdienste.
  • Datensicherung und -wiederherstellung: Sichern Sie Ihre Daten regelmäßig und speichern Sie die Sicherungen offline oder in isolierten Segmenten.
  • Lösungsanbieter bewerten: Arbeiten Sie mit Anbietern zusammen, um konsistente Systemprüfungen durchzuführen.
  • Patch-Management: Halten Sie alle Anwendungen und Betriebssysteme mit den neuesten Patches und Updates auf dem neuesten Stand.
  • Recorded Future Hunting Packages: Implementieren Sie YARA- und Sigma-Regeln wie die in Recorded Future Hunting Packages, um Malware über signaturbasierte Erkennung oder Snort-Regeln für endpunktbasierte Erkennungen zu identifizieren.

Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.

Verwandt