Исследователи Symantec изучили новый RaaS-проект (ransomware-as-a-service, «вымогатель-как-услуга») RansomHub и полагают, что это ответвление от уже несуществующего вымогательского проекта Knight.
Группировка RansomHub привлекла к себе внимание экспертов в середине апреля текущего года, когда в результате атаки шифровальщика BlackCat (ALPHV) у дочерней компании United Healthcare — Change Healthcare произошла утечка данных. Так как данные слили в сеть участники RansomHub, исследователи предположили, что между группировками существует какая-то связь.
Напомним, что на прошлой неделе RansomHub атаковала аукционный дом Christie's и пригрозила опубликовать похищенную у организации информацию в открытом доступе.
Как теперь рассказывают эксперты Symantec, вымогатель Knight появился в конце июля 2023 года и представлял собой ребрендинг малвари Cyclops. Он взламывал машины под управлением Windows, macOS, Linux/ESXi, похищая данные и требуя выкуп. Одной из отличительных особенностей Knight было то, что операторам шифровальщика также предлагался инфостилер, который мог сделать их атаки более эффективными.
В феврале 2024 года исходный код вымогателя Knight был выставлен на продажу на хакерских форумах, сайт вымогателей ушел в офлайн и RaaS-активность затихла.
Но теперь аналитики обнаружили многочисленные сходства между Knight и появившимся недавно RansomHub, которые указывают на то, что у вредоносов общее происхождение:
- оба семейства малвари написаны на Go и используют Gobfuscate для обфускации;
- код вредоносов во многом совпадает;
- в обоих случаях используется уникальная техника обфускации, при которой важные строки кодируются уникальными ключами;
- послания с требованием выкупа тоже похожи, но в версию текста для RansomHub добавлены незначительные изменения;
- оба семейства малвари перезапускают эндпоинты в Safe Mode перед шифрованием;
- меню помощи в командной строке идентичны, с единственным отличием в команде sleep у RansomHub;
- последовательность и способ выполнения команд одинаковы, хотя RansomHub выполняет их через cmd.exe.
В результате эксперты полагают, что RansomHub, скорее всего, создан на основе Knight. Даже время, когда впервые был замечен RansomHub (февраль 2024 года) совпадает с продажей исходного кода Knight.
По мнению исследователей, маловероятно, что RansomHub управляется создателями малвари Knight. Скорее исходный код Knight все же приобрели другие хакеры, и теперь они начали использовать его в атаках.
С момента своего появления RansomHub стал одним из наиболее активных RaaS-проектов, и аналитики Symantec пишут, что это, вероятно, связано с тем, что к операциям группировки привлечены бывшие операторы ALPHV, такие как Notchy и Scattered Spider.