O que é RansomHub? Nova ameaça é um reboot do ransomware Knight

O RansomHub, um novo Ransomware como serviço (RaaS) que rapidamente se tornou um dos maiores grupos de ransomware em operação atualmente, é muito provavelmente uma versão atualizada e renomeada do antigo ransomware Knight.

A análise da carga útil do RansomHub pela Symantec revelou um alto grau de semelhança entre as duas ameaças, sugerindo que o Knight foi o ponto de partida do RansomHub.

Apesar das origens compartilhadas, é improvável que os criadores de Knight estejam agora operando o RansomHub. O código-fonte do Knight (originalmente conhecido como Cyclops) foi colocado à venda em fóruns clandestinos em fevereiro de 2024, depois que os desenvolvedores do Knight decidiram encerrar suas operações. É possível que outros atores tenham comprado o código-fonte do Knight e o atualizado antes de lançar o RansomHub.

Nova pesquisa fornece informações sobre o RansomHub

Embora o RansomHub seja um Ransomware como serviço (RaaS) relativamente novo, ele cresceu rapidamente e se tornou um dos grupos de ransomware mais prolíficos atualmente ativos. Uma nova pesquisa sugere que o RansomHub pode ser uma versão renomeada de um ransomware mais antigo conhecido como Knight.

A pesquisa observa semelhanças entre RansomHub e Knight. Essas semelhanças incluem:

• As cargas úteis são escritas em Go e as notas de resgate deixadas são semelhantes literalmente.
• A maioria das variantes é ofuscada com Gobfuscate. Além disso, ambas as operações implementam uma técnica de ofuscação exclusiva na qual strings importantes são codificadas com chaves exclusivas e depois decodificadas em tempo de execução.
• A sobreposição de códigos é tão grande que pode ser um desafio diferenciá-los.
• Os menus de ajuda na linha de comando são quase idênticos, com a única diferença sendo a adição de um comando sleep pelo RansomHub.

A pesquisa também notou uma diferença entre RansomHub e Knight, que são os comandos executados por meio do cmd.exe. Ainda assim, embora os comandos sejam diferentes, a maneira como são chamados é a mesma.

Apesar das semelhanças, a pesquisa sugere que é improvável que o RansomHub esteja sendo administrado pelos criadores de Knight. Em vez disso, a pesquisa acredita que o código-fonte de Knight foi comprado e atualizado para uso com o RansomHub.

Ataques RansomHub

Nos recentes ataques RansomHub investigados pela Symantec, os invasores obtiveram acesso inicial explorando a vulnerabilidade Zerologon (CVE-2020-1472), que pode permitir que um invasor obtenha privilégios de administrador de domínio e assuma o controle de todo o domínio.

Os invasores usaram várias ferramentas de dupla utilização antes de implantar o ransomware. Atera e Splashtop foram usados ​​para facilitar o acesso remoto, enquanto o NetScan foi usado para provavelmente descobrir e recuperar informações sobre dispositivos de rede. A carga útil do RansomHub aproveitou as ferramentas de linha de comando iisreset.exe e iisrstas.exe para interromper todos os serviços de serviços de informações da Internet (IIS).