Omgedoopt tot Knight Ransomware gericht op gezondheidszorg en bedrijven wereldwijd

Een analyse van een opkomende ransomware-soort genaamd RansomHub heeft onthuld dat het een bijgewerkte en hernoemde versie is van de Knight-ransomware, die zelf een evolutie is van een andere ransomware die bekend staat als Cyclops.

De Knight-ransomware (ook bekend als Cyclops 2.0) verscheen voor het eerst in mei 2023 en maakte gebruik van dubbele afpersingstactieken om de gegevens van slachtoffers te stelen en te versleutelen voor financieel gewin. Het is operationeel op meerdere platforms, waaronder Windows, Linux, macOS, ESXi en Android.

Geadverteerd en verkocht op het RAMP-cybercriminaliteitsforum, is gebleken dat aanvallen waarbij de ransomware betrokken is, phishing- en spearphishing-campagnes gebruiken als distributievector in de vorm van kwaadaardige bijlagen.

De ransomware-as-a-service (RaaS)-operatie is sindsdien eind februari 2024 stopgezet, toen de broncode te koop werd aangeboden, waardoor de mogelijkheid ontstond dat deze van eigenaar was veranderd naar een andere actor, die vervolgens besloot om update en start het opnieuw onder de merknaam RansomHub.

RansomHub, dat diezelfde maand zijn eerste slachtoffer postte, is de afgelopen weken in verband gebracht met een reeks ransomware-aanvallen, waaronder die van Change Healthcare, Christie's en Frontier Communications. Het heeft ook beloofd zich te zullen onthouden van het aanvallen van entiteiten in de landen van het Gemenebest van Onafhankelijke Staten (GOS), Cuba, Noord-Korea en China.

“Beide payloads zijn geschreven in Go en de meeste varianten van elke familie zijn versluierd met Gobfuscate”, zegt Symantec, onderdeel van Broadcom, in een rapport gedeeld met The Hacker News. “De mate van code-overlap tussen de twee families is aanzienlijk, waardoor het erg moeilijk is om onderscheid tussen hen te maken.”

Beide delen identieke helpmenu's op de opdrachtregel, waarbij RansomHub een nieuwe 'slaap'-optie toevoegt die ervoor zorgt dat het gedurende een bepaalde periode (in minuten) inactief wordt voordat het wordt uitgevoerd. Soortgelijke slaapopdrachten zijn waargenomen bij de Chaos/Yashma- en Trigona-ransomwarefamilies.

De overlappingen tussen Knight en RansomHub strekken zich ook uit tot de verduisteringstechniek die wordt gebruikt om tekenreeksen te coderen, de losgeldbriefjes die zijn verwijderd na het versleutelen van bestanden, en hun mogelijkheid om een ​​host in de veilige modus opnieuw op te starten voordat de versleuteling wordt gestart.

Het enige grote verschil is de reeks opdrachten die via cmd.exe worden uitgevoerd, hoewel de “manier en volgorde waarin ze worden aangeroepen ten opzichte van andere bewerkingen hetzelfde is”, aldus Symantec.

Er zijn RansomHub-aanvallen waargenomen waarbij gebruik werd gemaakt van bekende beveiligingsfouten (bijvoorbeeld ZeroLogon) om initiële toegang te verkrijgen en externe desktopsoftware zoals Atera en Splashtop te verwijderen voordat ransomware werd ingezet.

Volgens statistieken gedeeld door Malwarebytes is de ransomware-familie alleen al in de maand april 2024 in verband gebracht met 26 bevestigde aanvallen, waardoor het achter Play, Hunters International, Black Basta en LockBit komt te staan.

Mandiant, eigendom van Google, onthulde in een deze week gepubliceerd rapport dat RansomHub partners probeert te werven die zijn getroffen door recente sluitingen of exit-zwendel zoals die van LockBit en BlackCat.

“Een voormalig Noberus-filiaal, bekend als Notchy, werkt nu naar verluidt met RansomHub,” zei Symantec. Daarnaast werden bij een recente RansomHub-aanval tools gebruikt die voorheen geassocieerd waren met een ander Noberus-filiaal, bekend als Scattered Spider.

“De snelheid waarmee RansomHub zijn activiteiten heeft gevestigd, suggereert dat de groep mogelijk bestaat uit ervaren operators met ervaring en contacten in de cyber-underground.”

Deze ontwikkeling vindt plaats tegen de achtergrond van een toename van de ransomware-activiteit in 2023, vergeleken met een “lichte daling” in 2022, ook al blijkt dat ongeveer een derde van de 50 nieuwe families die dit jaar zijn waargenomen varianten zijn van eerder geïdentificeerde ransomware-families, wat wijst op de toenemende prevalentie van hergebruik van code, overlap van actoren en rebranding.

“Bij bijna een derde van de incidenten werd ransomware binnen 48 uur na de eerste toegang van de aanvaller ingezet”, zeggen onderzoekers van Mandiant. “Zesenzeventig procent (76%) van de ransomware-implementaties vond plaats buiten de werkuren, waarbij het merendeel in de vroege ochtend plaatsvond.”

Deze aanvallen worden ook gekenmerkt door het gebruik van in de handel verkrijgbare en legitieme externe desktoptools om de inbraakoperaties te vergemakkelijken, in plaats van te vertrouwen op Cobalt Strike.

“De waargenomen toenemende afhankelijkheid van legitieme tools weerspiegelt waarschijnlijk de inspanningen van aanvallers om hun activiteiten te verbergen voor detectiemechanismen en de tijd en middelen te verminderen die nodig zijn om aangepaste tools te ontwikkelen en te onderhouden”, aldus Mandiant.

Het herstel van het aantal ransomware-aanvallen volgt op de opkomst van nieuwe ransomwarevarianten zoals BlackSuit, Fog en ShrinkLocker, waarvan is waargenomen dat de laatste een Visual Basic Script (VBScript) inzet dat gebruik maakt van het eigen BitLocker-hulpprogramma van Microsoft voor ongeautoriseerde bestandsversleuteling bij afpersingsaanvallen. gericht op Mexico, Indonesië en Jordanië.

ShrinkLocker is zo genoemd vanwege zijn vermogen om een ​​nieuwe opstartpartitie te maken door de grootte van elke beschikbare niet-opstartpartitie met 100 MB te verkleinen, de niet-toegewezen ruimte in een nieuwe primaire partitie te veranderen en deze te gebruiken om de opstartbestanden opnieuw te installeren om herstel.

“Deze bedreigingsacteur heeft een uitgebreid begrip van de VBScript-taal en de interne onderdelen en hulpprogramma's van Windows, zoals WMI, diskpart en bcdboot”, zei Kaspersky in zijn analyse van ShrinkLocker, waarbij hij opmerkte dat ze waarschijnlijk “al de volledige controle over het doelsysteem hadden toen het script werd uitgevoerd.”

Thijs Van der Does