Hibrit Saldırı Bülteni: Salt Typhoon - Telco Siber Saldırılarında Sessiz Fırtına >

Vectra AI Japonya、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Hamburger simgesi üst satır
Hamburger simgesi orta çizgi
Hamburger simgesi alt satırı
cybercriminels
>
Fidye Yazılım Grubu

RansomHub

RansomHub, daha önce Cyclops ve Knight olarak bilinen bir hizmet olarak fidye yazılımı (RaaS) varyantıdır.

RansomHub'ın TTP'lerini tespit edin
Kuruluşunuz RansomHub Saldırılarına Karşı Güvende mi?
Arka plan
Hedefler
TTP'ler
Algılama
Sıkça Sorulan Sorular
Tehdit Brifingini izleyin

RansomHub'ın Kökeni

Şubat 2024'te ortaya çıkan grup, LockBit ve ALPHV gibi diğer fidye yazılımı gruplarının yüksek profilli iştiraklerinden yararlanarak 210'dan fazla kurbanın verilerini şifrelemiş ve dışarı sızdırmıştır . RansomHub'ın operasyonu, bağlı kuruluşların sistemleri şifrelediği ve verileri dışarı sızdırdığı, fidyelerin ödenmemesi halinde çalınan verileri yayınlamakla tehdit ettiği çifte gasp modeline odaklanıyor. Grup profesyonelliği ve teknik gelişmişliği ile tanınıyor.

RansomHub'ın Kökeni
Hedefler

RansomHub'ın Hedefleri

RansomHub tarafından hedeflenen ülkeler

RansomHub küresel bir erişime sahiptir ve kurbanları öncelikle Amerika Birleşik Devletleri ve Avrupa'dadır ve kritik altyapı ve kilit endüstrilere odaklanmaktadır.

Grup, muhtemelen operasyonel güvenli sığınaklar veya yasal korumalar nedeniyle Bağımsız Devletler Topluluğu (BDT), Küba, Kuzey Kore ve Çin'i hedef almaktan kaçındığını iddia etmektedir.

Şekil kaynağı: Cyberint

RansomHub tarafından hedeflenen sektörler

RansomHub geniş bir endüstri yelpazesini hedef almakta olup, en önemli sektörler Ticari Hizmetler, Perakende ve İmalattır. Sıklıkla etkilenen diğer sektörler arasında Eğitim Hizmetleri, Devlet, Finans, İnşaat, Sağlık Hizmetleri, Teknoloji ve Kritik Altyapılar yer alıyor. Grubun kritik sektörlere odaklanması, hem kamu hem de özel kuruluşlar için önemli bir tehdit oluşturan geniş operasyonel kapsamını vurgulamaktadır.

Grubun etkinliğine rağmen, kar amacı gütmeyen kuruluşları hedef almadıklarını iddia ediyorlar.

RansomHub tarafından hedeflenen sektörler

RansomHub geniş bir endüstri yelpazesini hedef almakta olup, en önemli sektörler Ticari Hizmetler, Perakende ve İmalattır. Sıklıkla etkilenen diğer sektörler arasında Eğitim Hizmetleri, Devlet, Finans, İnşaat, Sağlık Hizmetleri, Teknoloji ve Kritik Altyapılar yer alıyor. Grubun kritik sektörlere odaklanması, hem kamu hem de özel kuruluşlar için önemli bir tehdit oluşturan geniş operasyonel kapsamını vurgulamaktadır.

Grubun etkinliğine rağmen, kar amacı gütmeyen kuruluşları hedef almadıklarını iddia ediyorlar.

RansomHub'ın Kurbanları

Ortaya çıkışından bu yana 324'ten fazla kuruluş RansomHub'ın kurbanı oldu ve sağlık sistemleri ve devlet tesisleri de dahil olmak üzere kamu altyapısına önemli ölçüde odaklandı. Bu saldırılar hayati hizmetleri kesintiye uğratarak önemli operasyonel aksama sürelerine ve önemli fidye taleplerine yol açmaktadır.

Saldırı Yöntemi

RansomHub'ın Saldırı Yöntemi

İlk Erişim
Ayrıcalık Yükseltme
Savunma Kaçırma
Kimlik Bilgileri Erişimi
Keşif
Yanal Hareket
Koleksiyon
Yürütme
Sızma
Etki
Bilgisayarlar, akıllı telefonlar ve tabletler gibi çeşitli cihazlarla dolu dijital bir manzara üzerinde geniş bir ağ atan gölgeli bir figür. Ağ, saldırganın güvenlik açıklarını bulma veya yetkisiz erişim elde etmek için phishing tekniklerini kullanma girişimlerini sembolize eder.

RansomHub iştirakleri phishing e-postaları, güvenlik açıklarından yararlanma ve parola püskürtme yoluyla erişim elde eder. İstismar edilen yaygın güvenlik açıkları arasında CVE-2023-3519 (Citrix ADC), CVE-2023-27997 (Fortinet) ve CVE-2020-1472 (Netlogon ayrıcalık yükseltme) bulunmaktadır.

Temel bir kullanıcı simgesinden yukarıya, yönetici ayrıcalıklarını simgeleyen bir taca doğru uzanan dijital bir merdiven. Bu, saldırganın sistem içinde daha üst düzey erişim elde etme çabalarını temsil eder.

İştirakçiler içeri girdikten sonra Mimikatz gibi araçları kullanarak ayrıcalıklarını artırır ve ele geçirilen sistemler üzerinde tam kontrol sağlar.

Dijital bir arka plana karışan, etrafında sıfırlar ve birler akan bir bukalemun. Bu, saldırganın normal ağ trafiğine karışmak için taktik değiştirerek güvenlik önlemleri tarafından tespit edilmekten kaçınma yeteneğini temsil eder.

Güvenlik araçlarını devre dışı bırakır, günlükleri temizler ve fidye yazılımı yürütülebilir dosyalarını sistem dosyalarına karışacak şekilde yeniden adlandırarak tespit edilmekten kaçınırlar.

Giriş formu şeklindeki dev bir anahtar deliği üzerinde çalışan maymuncuk aletine sahip bir hırsız, saldırganın yetkisiz erişim elde etmek için kullanıcı kimlik bilgilerini çalma çabalarını temsil ediyor.

Kimlik bilgisi boşaltma araçları ve parola püskürtme kullanarak, bağlı kuruluşlar yüksek değerli sistemlere erişmek için yönetici kimlik bilgilerini toplar.

Bir ağın dijital haritası üzerinde hareket eden ve dosyaları, klasörleri ve ağ bağlantılarını vurgulayan bir büyüteç. Bu görüntü, saldırganların yapıyı ve değerli verilerin nerede bulunduğunu anlamak için ortamı keşfettikleri aşamayı temsil eder.

Ağ keşfi, değerli hedefleri belirlemek ve daha fazla istismarı planlamak için Nmap ve PowerShell gibi araçlar kullanılarak gerçekleştirilir.

Gölgeli bir figürün aralarında gizlice hareket ettiği bir dizi birbirine bağlı düğüm. Bu, ek sistemlerin kontrolünü ele geçirmek veya malware adresini yaymak isteyen saldırganın ağ içindeki hareketlerini göstermektedir.

İştirakçiler Uzak Masaüstü Protokolü (RDP), PsExec ve AnyDesk gibi araçları kullanarak yanlara doğru hareket eder ve ağ içindeki ek sistemlere erişim sağlar.

Dosyaları, veri simgelerini ve klasörleri gölgeli bir figür tarafından tutulan bir torbaya emen büyük bir vakum. Bu görüntü, hedef ağdan değerli verilerin toplanması sürecini sembolize eder.

Hassas veriler, Rclone ve WinSCP gibi araçlar kullanılarak, genellikle çalınan verilerin fidye pazarlıklarında koz olarak kullanıldığı çifte gasp amacıyla dışarı sızdırılır.

Dijital bir arka planın önünde açılan ve kötü amaçlı kod yazılan bir komut istemi penceresi. Bu, saldırganların ele geçirilen sistem içinde kötü amaçlı yüklerini çalıştırdıkları aşamayı temsil eder.

Fidye yazılımı kurbanın ağı üzerinden çalıştırılır ve dosyaları Curve 25519 eliptik eğri şifreleme kullanarak şifreler.

Bir bilgisayardan gizli bir kanal aracılığıyla kurukafa ile etiketlenmiş bir buluta aktarılan bir dizi dosya, verilerin saldırgan tarafından kontrol edilen bir konuma izinsiz olarak aktarılmasını sembolize eder.

Veriler şifrelenmiş protokoller, bulut hesapları veya saldırganın kontrolündeki sunuculara doğrudan aktarımlar yoluyla dışarı sızdırılır.

Arkasında kaos içinde dijital bir şehir manzarası olan kırık bir ekran, siber saldırının hizmet kesintisi, veri imhası veya mali kayıp gibi yıkıcı etkisini sembolize eder.

RansomHub'ın şifrelemesi, kurban sistemlerini çalışamaz hale getirerek genellikle kapsamlı operasyonel kesintilere yol açar. İştirakçiler, kurtarma çabalarını önlemek için yedekleri ve birim gölge kopyalarını silerek kurbanlar üzerindeki fidye ödeme baskısını en üst düzeye çıkarır.

Bilgisayarlar, akıllı telefonlar ve tabletler gibi çeşitli cihazlarla dolu dijital bir manzara üzerinde geniş bir ağ atan gölgeli bir figür. Ağ, saldırganın güvenlik açıklarını bulma veya yetkisiz erişim elde etmek için phishing tekniklerini kullanma girişimlerini sembolize eder.
İlk Erişim

RansomHub iştirakleri phishing e-postaları, güvenlik açıklarından yararlanma ve parola püskürtme yoluyla erişim elde eder. İstismar edilen yaygın güvenlik açıkları arasında CVE-2023-3519 (Citrix ADC), CVE-2023-27997 (Fortinet) ve CVE-2020-1472 (Netlogon ayrıcalık yükseltme) bulunmaktadır.

Temel bir kullanıcı simgesinden yukarıya, yönetici ayrıcalıklarını simgeleyen bir taca doğru uzanan dijital bir merdiven. Bu, saldırganın sistem içinde daha üst düzey erişim elde etme çabalarını temsil eder.
Ayrıcalık Yükseltme

İştirakçiler içeri girdikten sonra Mimikatz gibi araçları kullanarak ayrıcalıklarını artırır ve ele geçirilen sistemler üzerinde tam kontrol sağlar.

Dijital bir arka plana karışan, etrafında sıfırlar ve birler akan bir bukalemun. Bu, saldırganın normal ağ trafiğine karışmak için taktik değiştirerek güvenlik önlemleri tarafından tespit edilmekten kaçınma yeteneğini temsil eder.
Savunma Kaçırma

Güvenlik araçlarını devre dışı bırakır, günlükleri temizler ve fidye yazılımı yürütülebilir dosyalarını sistem dosyalarına karışacak şekilde yeniden adlandırarak tespit edilmekten kaçınırlar.

Giriş formu şeklindeki dev bir anahtar deliği üzerinde çalışan maymuncuk aletine sahip bir hırsız, saldırganın yetkisiz erişim elde etmek için kullanıcı kimlik bilgilerini çalma çabalarını temsil ediyor.
Kimlik Bilgileri Erişimi

Kimlik bilgisi boşaltma araçları ve parola püskürtme kullanarak, bağlı kuruluşlar yüksek değerli sistemlere erişmek için yönetici kimlik bilgilerini toplar.

Bir ağın dijital haritası üzerinde hareket eden ve dosyaları, klasörleri ve ağ bağlantılarını vurgulayan bir büyüteç. Bu görüntü, saldırganların yapıyı ve değerli verilerin nerede bulunduğunu anlamak için ortamı keşfettikleri aşamayı temsil eder.
Keşif

Ağ keşfi, değerli hedefleri belirlemek ve daha fazla istismarı planlamak için Nmap ve PowerShell gibi araçlar kullanılarak gerçekleştirilir.

Gölgeli bir figürün aralarında gizlice hareket ettiği bir dizi birbirine bağlı düğüm. Bu, ek sistemlerin kontrolünü ele geçirmek veya malware adresini yaymak isteyen saldırganın ağ içindeki hareketlerini göstermektedir.
Yanal Hareket

İştirakçiler Uzak Masaüstü Protokolü (RDP), PsExec ve AnyDesk gibi araçları kullanarak yanlara doğru hareket eder ve ağ içindeki ek sistemlere erişim sağlar.

Dosyaları, veri simgelerini ve klasörleri gölgeli bir figür tarafından tutulan bir torbaya emen büyük bir vakum. Bu görüntü, hedef ağdan değerli verilerin toplanması sürecini sembolize eder.
Koleksiyon

Hassas veriler, Rclone ve WinSCP gibi araçlar kullanılarak, genellikle çalınan verilerin fidye pazarlıklarında koz olarak kullanıldığı çifte gasp amacıyla dışarı sızdırılır.

Dijital bir arka planın önünde açılan ve kötü amaçlı kod yazılan bir komut istemi penceresi. Bu, saldırganların ele geçirilen sistem içinde kötü amaçlı yüklerini çalıştırdıkları aşamayı temsil eder.
Yürütme

Fidye yazılımı kurbanın ağı üzerinden çalıştırılır ve dosyaları Curve 25519 eliptik eğri şifreleme kullanarak şifreler.

Bir bilgisayardan gizli bir kanal aracılığıyla kurukafa ile etiketlenmiş bir buluta aktarılan bir dizi dosya, verilerin saldırgan tarafından kontrol edilen bir konuma izinsiz olarak aktarılmasını sembolize eder.
Sızma

Veriler şifrelenmiş protokoller, bulut hesapları veya saldırganın kontrolündeki sunuculara doğrudan aktarımlar yoluyla dışarı sızdırılır.

Arkasında kaos içinde dijital bir şehir manzarası olan kırık bir ekran, siber saldırının hizmet kesintisi, veri imhası veya mali kayıp gibi yıkıcı etkisini sembolize eder.
Etki

RansomHub'ın şifrelemesi, kurban sistemlerini çalışamaz hale getirerek genellikle kapsamlı operasyonel kesintilere yol açar. İştirakçiler, kurtarma çabalarını önlemek için yedekleri ve birim gölge kopyalarını silerek kurbanlar üzerindeki fidye ödeme baskısını en üst düzeye çıkarır.

MITRE ATT&CK Haritalama

RansomHub tarafından kullanılan TTP'ler

TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
No items found.
TA0005: Defense Evasion
T1562
Impair Defenses
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
No items found.
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
No items found.
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1048
Exfiltration Over Alternative Protocol
TA0040: Impact
T1486
Data Encrypted for Impact
Platform Tespitleri

RansomHub ile Nasıl Tespit Edilir Vectra AI

Azure AD MFA-Failed Suspicious Sign-On

Azure AD Privilege Operation Anomaly

M365 Suspect Power Automate Activity

Privilege Anomaly: Unusual Host

Ransomware File Activity

Suspicious Remote Desktop Protocol

Daha fazla algılama görüntüleyin
Saldırıya maruz kalma durumunuzu değerlendirin

Sıkça Sorulan Sorular

RansomHub öncelikle hangi sektörleri hedefliyor?

RansomHub sağlık hizmetleri, finansal hizmetler ve devlet tesisleri gibi kritik altyapı sektörlerine saldırmaktadır.

RansomHub'dan en çok hangi ülkeler etkileniyor?

Grup öncelikle Amerika Birleşik Devletleri ve Avrupa'daki kuruluşları hedef almakta, BDT ülkeleri, Küba, Kuzey Kore ve Çin'den kaçınmaktadır.

RansomHub ilk erişimi nasıl elde ediyor?

İştirakler bilinen güvenlik açıklarından yararlanır, phishing saldırılarını kullanır ve sistemlere sızmak için çalınan kimlik bilgilerinden yararlanır.

RansomHub'ın veri sızdırma yöntemleri nelerdir?

Hassas verileri şifrelenmiş kanallar üzerinden dışarı sızdırmak için Rclone ve WinSCP gibi araçlar kullanırlar.

RansomHub bir ağ içindeki ayrıcalıkları nasıl artırır?

İştirakçiler, kimlik bilgilerini almak ve sistem düzeyinde ayrıcalıklara yükselmek için Mimikatz gibi araçlar kullanır.

RansomHub hangi şifreleme yöntemini kullanıyor?

RansomHub iştirakleri kurbanların dosyalarını kilitlemek için Curve 25519 eliptik-eğri şifrelemesini kullanmaktadır.

RansomHub iştirakleri tespit edilmekten nasıl kaçınıyor?

Güvenlik araçlarını devre dışı bırakır, günlükleri temizler ve fidye yazılımı yürütülebilir dosyalarını yasal dosyaların arasına karışacak şekilde yeniden adlandırırlar.

RansomHub yanal hareket için hangi araçları kullanıyor?

Uzak Masaüstü Protokolü (RDP), AnyDesk ve PsExec gibi araçlar, tehlikeye atılmış ağlar içinde yanal olarak hareket etmek için kullanılır.

Hangi hafifletme stratejileri RansomHub saldırılarını önlemeye yardımcı olabilir?

phishing dirençli çok faktörlü kimlik doğrulama (MFA) uygulamak, güvenlik açıklarını yamalamak ve ağları bölümlere ayırmak temel hafifletme stratejileridir.

Bir RansomHub saldırısının etkisi nedir?

Mağdurlar genellikle şifreleme ve yedeklerin silinmesi nedeniyle önemli kesinti süreleri ve veri kayıpları yaşamakta, bu da operasyonel felce ve yüksek fidye taleplerine yol açmaktadır.

Kuruluşunuz RansomHub Saldırılarına Karşı Güvende mi?

Saldırıya maruz kalma durumunuzu değerlendirin