Ransomhub ging donker 1 april; Affiliates vluchtten naar Qilin, Dragonforce claimde controle

Cyberbeveiliging
RansomHub Went Dark

Cybersecurity-onderzoekers hebben aangetoond dat de online infrastructuur van Ransomhub “op 1 april 2025” op onverklaarbaar “offline is gegaan, wat zich roept op de bezorgdheid onder gelieerde ondernemingen van de ransomware-as-a-service (RAAS) operatie.

Singaporean Cybersecurity Company Group-IB zei dat dit mogelijk heeft veroorzaakt dat gelieerde ondernemingen naar Qilin migreerden, aangezien “openbaarmakingen op de DLS (gegevensleksite) sinds februari zijn verdubbeld.”

Ransomhub, die voor het eerst opkwam in februari 2024, heeft naar schatting gegevens van meer dan 200 slachtoffers gestolen. Het verving twee spraakmakende RAAS-groepen, Lockbit en Blackcat, om een ​​koploper te worden, die hun gelieerde ondernemingen, waaronder verspreide Spider en Evil Corp, door lucratieve betalingssplitsingen werden.

“Na een mogelijke acquisitie van de webtoepassing en Ransomware Source Code of Knight (voorheen Cyclops), stond Ransomhub snel op in de ransomware-scene, dankzij de dynamische kenmerken van de multi-platformcodes en een agressieve, aangesloten-vriendelijk model dat substantiële financiële financiële prikkels aanbiedt,” zei Group-IB in een rapport.

Ransomhub’s ransomware is ontworpen om te werken aan Windows, Linux, FreeBSD en ESXI en op X86-, X64- en ARM -architecturen, terwijl ze aanvallende bedrijven in het Commonwealth of Independent States (CIS), Cuba, Noord -Korea en China vermijden. Het kan ook lokale en externe bestandssystemen coderen via SMB en SFTP.

Het partnerpaneel, dat wordt gebruikt om de ransomware te configureren via een webinterface, beschikt over een speciale “leden” -sectie waarbij leden van de Affiliate Group de optie krijgen om hun eigen accounts op het apparaat te maken.

Affiliaten hebben ook een “moordenaar” -module verstrekt vanaf ten minste juni 2024 om beveiligingssoftware te beëindigen en te omzeilen met bekende kwetsbare stuurprogramma’s (BYOVD). De tool is sindsdien echter stopgezet vanwege hoge detectiepercentages.

Per Esentire en Trend Micro zijn cyberaanvallen ook waargenomen met behulp van een JavaScript-malware die bekend staat als Socgholish (aka nepdates) via gecompromitteerde WordPress-sites om een ​​python-gebaseerde achterdeur te implementeren die verbonden is met ransomhub-affiliaten.

“Op 25 november hebben de exploitanten van de groep een nieuwe notitie vrijgegeven in hun gelieerde panel waarin wordt aangekondigd dat elke aanval op een overheidsinstelling strikt verboden is,” zei het bedrijf. “Alle gelieerde ondernemingen werden daarom uitgenodigd om van dergelijke handelingen te onthouden vanwege het hoge risico en onrendabele ‘rendement van investeringen’.

GuidePoint Security, die ook de downtime van Ransomhub -infrastructuur heeft waargenomen, zei dat de reeks gebeurtenissen heeft geleid tot een “affiliate onrust”, met rivaal RAAS -groep Dragonforce die op het Ramp Forum beweert dat Ransomhub “besloot om naar onze infrastructuur te gaan” onder een nieuwe “Dragonforce Ransomware Cartel.”

Het is vermeldenswaard dat een andere RAAS -acteur genaamd Blacklock ook wordt beoordeeld die is begonnen met het samenwerken met Dragonforce nadat deze eind maart 2025 zijn gegevensleklocatie had achtergelaten.

“Deze discussies op de Ramp -forums benadrukken de onzekere omgeving waarin Ransomhub -filialen op dit moment lijken te zijn, schijnbaar niet op de hoogte van de status van de groep en hun eigen status te midden van een potentiële ‘overname’,” zei Guidepoint Security.

“Het valt nog te bezien of deze instabiliteit het begin van het einde voor Ransomhub zal spellen, hoewel we niet kunnen helpen, maar merken op dat de groep die tot bekendheid kwam door veelbelovende stabiliteit en veiligheid voor gelieerde ondernemingen nu kan hebben gefaald of verraden gelieerde ondernemingen op beide punten.”

SecureWorks Counter Threat Unit (CTU), dat ook de rebrand van Dragonforce heeft gevolgd als een “kartel”, zei dat de inspanning deel uitmaakt van een nieuw bedrijfsmodel dat is ontworpen om gelieerde ondernemingen aan te trekken en de winst te vergroten door affiliates toe te staan ​​hun eigen “merken” te creëren.

Dit verschilt van een traditioneel RAAS -schema waarbij de kernontwikkelaars de duistere webinfrastructuur opzetten en gelieerde ondergronds affiliates van de cybercrime -ondergronds rekruteren, die vervolgens de aanvallen uitvoeren na toegang tot doelnetwerken van een initiële toegangsmakelaar (IAB) in ruil voor 70% van de Ransom -betaling.

“In dit model biedt Dragonforce zijn infrastructuur en tools, maar vereist geen gelieerde ondernemingen om zijn ransomware te implementeren,” zei het bedrijf van Sophos. “Geadverteerde functies zijn onder meer administratie- en clientpanelen, codering en losgeldonderhandelingstools, een bestandsopslagsysteem, een op Tor gebaseerde leksite en .onion-domein en ondersteuningsdiensten.”

Een andere ransomware-groep om nieuwe tactieken te omarmen is Anubis, die in februari 2025 voortkwam en een “data-losgeld” afpersing alleen gebruikt om druk op slachtoffers uit te oefenen door te dreigen een “onderzoeksartikel” te publiceren met een analyse van de gestolen gegevens en regulerende of nalevingsautoriteiten van het incident informeren.

“Terwijl het ransomware -ecosysteem blijft buigen en aanpassen, zien we breder experimenteren met verschillende operationele modellen,” zei Rafe Pilling, directeur van dreigingsinformatie bij SecureWorks CTU. “Lockbit had het gelieerde schema onder de knie, maar in de nasleep van de handhavingsactie tegen hen is het niet verwonderlijk om nieuwe regelingen en methoden te zien worden beproefd en getest.”

De ontwikkeling valt samen met de opkomst van een nieuwe ransomware-familie genaamd Elenor-Corp, een variant van de Mimic Ransomware, die zich actief richt op zorgorganisaties na het oogsten van referenties met behulp van een Python-uitvoerbaar dat in staat is om klembordgehalte te stelen.

“De Elenor-Corp-variant van MIMIC-ransomware vertoont verbeteringen in vergelijking met eerdere versies, met behulp van geavanceerde anti-forensische maatregelen, procesverbindingsstrategieën en coderingsstrategieën,” zei Morphisec-onderzoeker Michael Gorelik.

“Deze analyse benadrukt de evoluerende verfijning van ransomware-aanvallen, en benadrukt de noodzaak van proactieve verdedigingen, snelle incidentrespons en robuuste herstelstrategieën in risicovolle industrieën zoals gezondheidszorg.”

Sommige van de andere opmerkelijke ransomware -campagnes die de afgelopen maanden zijn waargenomen, zijn als volgt –

  • Crazyhunterdie zich richt op Taiwanese gezondheidszorg, onderwijs en industriële sectoren en gebruik BYOVD-technieken om beveiligingsmaatregelen te omzeilen via een open-source tool genaamd Zammocide
  • Elysiumeen nieuwe variant van de spook (aka cring) ransomware-familie die een hard gecodeerde lijst met services beëindigt, systeemback-ups uitschakelt, schaduwkopieën verwijdert en het opstartstatusbeleid wijzigt om het systeem herstel moeilijker te maken
  • MISTdie de naam heeft misbruikt van het Amerikaanse ministerie van Government Efficiency (Doge), en individuen die verbonden zijn met het overheidsinitiatief in e-mail en phishing-aanvallen om zip-bestanden met malware-geregen te distribueren die de ransomware leveren
  • Hellcatdie zero-day kwetsbaarheden heeft benut, zoals die in Atlassian Jira, om initiële toegang te verkrijgen
  • Hunters Internationaldie een omgedoopt tot en met alleen afpersingsoperatie heeft gelanceerd die bekend staat als wereldlekken door gebruik te maken van een op maat gemaakte gegevens-exfiltratieprogramma
  • In elkaar grijpendie de beruchte ClickFix-strategie heeft benut om een ​​multi-fase aanvalsketen te initiëren die de ransomware-lading implementeert, naast een achterdeur genaamd Interlock Rat en stealers zoals Lumma en Berserkstealer
  • Qilindie een phishing -e -mail heeft gebruikt die zich vermomt als screenconnect -authenticatiewaarschuwingen om een ​​managed serviceprovider (MSP) te overtreden met behulp van een AITM phishing -kit en ransomware -aanvallen op zijn klanten lanceren (toegeschreven aan een gelieerde onder genaamd STAC4365)

Deze campagnes dienen om het steeds evoluerende karakter van ransomware te benadrukken en het vermogen van de dreiging te tonen om te innoveren in het licht van wetshandhavingsverstoringen en lekken.

Inderdaad, een nieuwe analyse van de 200.000 interne Black Basta -chatberichten van het Forum of Incident Response and Security Teams (eerste) heeft onthuld hoe de ransomware -groep zijn activiteiten uitvoert, gericht op geavanceerde technieken voor social engineering en exploiteren VPN -kwetsbaarheden.

“Een lid dat bekend staat als ‘Nur’ is belast met het identificeren van belangrijke doelen binnen organisaties die ze willen aanvallen,” zei eerst. “Zodra ze een persoon van invloed hebben gevonden (zoals een manager of HR -personeel), starten ze contact op via telefoongesprek.”

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Google en DoJ vechten om technische haalbaarheid van chroomscheiding

IBM belooft enorme investeringen van $ 150 miljard in de Amerikaanse technologiesector

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]