RansomHub
RansomHub, daha önce Cyclops ve Knight olarak bilinen bir hizmet olarak fidye yazılımı (RaaS) varyantıdır.
RansomHub'ın Kökeni
Şubat 2024'te ortaya çıkan grup, LockBit ve ALPHV gibi diğer fidye yazılımı gruplarının yüksek profilli iştiraklerinden yararlanarak 210'dan fazla kurbanın verilerini şifrelemiş ve dışarı sızdırmıştır . RansomHub'ın operasyonu, bağlı kuruluşların sistemleri şifrelediği ve verileri dışarı sızdırdığı, fidyelerin ödenmemesi halinde çalınan verileri yayınlamakla tehdit ettiği çifte gasp modeline odaklanıyor. Grup profesyonelliği ve teknik gelişmişliği ile tanınıyor.
RansomHub tarafından hedeflenen ülkeler
RansomHub küresel bir erişime sahiptir ve kurbanları öncelikle Amerika Birleşik Devletleri ve Avrupa'dadır ve kritik altyapı ve kilit endüstrilere odaklanmaktadır.
Grup, muhtemelen operasyonel güvenli sığınaklar veya yasal korumalar nedeniyle Bağımsız Devletler Topluluğu (BDT), Küba, Kuzey Kore ve Çin'i hedef almaktan kaçındığını iddia etmektedir.
Şekil kaynağı: Cyberint
RansomHub tarafından hedeflenen sektörler
RansomHub geniş bir endüstri yelpazesini hedef almakta olup, en önemli sektörler Ticari Hizmetler, Perakende ve İmalattır. Sıklıkla etkilenen diğer sektörler arasında Eğitim Hizmetleri, Devlet, Finans, İnşaat, Sağlık Hizmetleri, Teknoloji ve Kritik Altyapılar yer alıyor. Grubun kritik sektörlere odaklanması, hem kamu hem de özel kuruluşlar için önemli bir tehdit oluşturan geniş operasyonel kapsamını vurgulamaktadır.
Grubun etkinliğine rağmen, kar amacı gütmeyen kuruluşları hedef almadıklarını iddia ediyorlar.
RansomHub'ın Kurbanları
Ortaya çıkışından bu yana 324'ten fazla kuruluş RansomHub'ın kurbanı oldu ve sağlık sistemleri ve devlet tesisleri de dahil olmak üzere kamu altyapısına önemli ölçüde odaklandı. Bu saldırılar hayati hizmetleri kesintiye uğratarak önemli operasyonel aksama sürelerine ve önemli fidye taleplerine yol açmaktadır.
RansomHub'ın Saldırı Yöntemi
RansomHub iştirakleri phishing e-postaları, güvenlik açıklarından yararlanma ve parola püskürtme yoluyla erişim elde eder. İstismar edilen yaygın güvenlik açıkları arasında CVE-2023-3519 (Citrix ADC), CVE-2023-27997 (Fortinet) ve CVE-2020-1472 (Netlogon ayrıcalık yükseltme) bulunmaktadır.
İştirakçiler içeri girdikten sonra Mimikatz gibi araçları kullanarak ayrıcalıklarını artırır ve ele geçirilen sistemler üzerinde tam kontrol sağlar.
Güvenlik araçlarını devre dışı bırakır, günlükleri temizler ve fidye yazılımı yürütülebilir dosyalarını sistem dosyalarına karışacak şekilde yeniden adlandırarak tespit edilmekten kaçınırlar.
Kimlik bilgisi boşaltma araçları ve parola püskürtme kullanarak, bağlı kuruluşlar yüksek değerli sistemlere erişmek için yönetici kimlik bilgilerini toplar.
Ağ keşfi, değerli hedefleri belirlemek ve daha fazla istismarı planlamak için Nmap ve PowerShell gibi araçlar kullanılarak gerçekleştirilir.
İştirakçiler Uzak Masaüstü Protokolü (RDP), PsExec ve AnyDesk gibi araçları kullanarak yanlara doğru hareket eder ve ağ içindeki ek sistemlere erişim sağlar.
Hassas veriler, Rclone ve WinSCP gibi araçlar kullanılarak, genellikle çalınan verilerin fidye pazarlıklarında koz olarak kullanıldığı çifte gasp amacıyla dışarı sızdırılır.
Fidye yazılımı kurbanın ağı üzerinden çalıştırılır ve dosyaları Curve 25519 eliptik eğri şifreleme kullanarak şifreler.
Veriler şifrelenmiş protokoller, bulut hesapları veya saldırganın kontrolündeki sunuculara doğrudan aktarımlar yoluyla dışarı sızdırılır.
RansomHub'ın şifrelemesi, kurban sistemlerini çalışamaz hale getirerek genellikle kapsamlı operasyonel kesintilere yol açar. İştirakçiler, kurtarma çabalarını önlemek için yedekleri ve birim gölge kopyalarını silerek kurbanlar üzerindeki fidye ödeme baskısını en üst düzeye çıkarır.
RansomHub iştirakleri phishing e-postaları, güvenlik açıklarından yararlanma ve parola püskürtme yoluyla erişim elde eder. İstismar edilen yaygın güvenlik açıkları arasında CVE-2023-3519 (Citrix ADC), CVE-2023-27997 (Fortinet) ve CVE-2020-1472 (Netlogon ayrıcalık yükseltme) bulunmaktadır.
İştirakçiler içeri girdikten sonra Mimikatz gibi araçları kullanarak ayrıcalıklarını artırır ve ele geçirilen sistemler üzerinde tam kontrol sağlar.
Güvenlik araçlarını devre dışı bırakır, günlükleri temizler ve fidye yazılımı yürütülebilir dosyalarını sistem dosyalarına karışacak şekilde yeniden adlandırarak tespit edilmekten kaçınırlar.
Kimlik bilgisi boşaltma araçları ve parola püskürtme kullanarak, bağlı kuruluşlar yüksek değerli sistemlere erişmek için yönetici kimlik bilgilerini toplar.
Ağ keşfi, değerli hedefleri belirlemek ve daha fazla istismarı planlamak için Nmap ve PowerShell gibi araçlar kullanılarak gerçekleştirilir.
İştirakçiler Uzak Masaüstü Protokolü (RDP), PsExec ve AnyDesk gibi araçları kullanarak yanlara doğru hareket eder ve ağ içindeki ek sistemlere erişim sağlar.
Hassas veriler, Rclone ve WinSCP gibi araçlar kullanılarak, genellikle çalınan verilerin fidye pazarlıklarında koz olarak kullanıldığı çifte gasp amacıyla dışarı sızdırılır.
Fidye yazılımı kurbanın ağı üzerinden çalıştırılır ve dosyaları Curve 25519 eliptik eğri şifreleme kullanarak şifreler.
Veriler şifrelenmiş protokoller, bulut hesapları veya saldırganın kontrolündeki sunuculara doğrudan aktarımlar yoluyla dışarı sızdırılır.
RansomHub'ın şifrelemesi, kurban sistemlerini çalışamaz hale getirerek genellikle kapsamlı operasyonel kesintilere yol açar. İştirakçiler, kurtarma çabalarını önlemek için yedekleri ve birim gölge kopyalarını silerek kurbanlar üzerindeki fidye ödeme baskısını en üst düzeye çıkarır.
RansomHub tarafından kullanılan TTP'ler
RansomHub ile Nasıl Tespit Edilir Vectra AI
Sıkça Sorulan Sorular
RansomHub öncelikle hangi sektörleri hedefliyor?
RansomHub sağlık hizmetleri, finansal hizmetler ve devlet tesisleri gibi kritik altyapı sektörlerine saldırmaktadır.
RansomHub'dan en çok hangi ülkeler etkileniyor?
Grup öncelikle Amerika Birleşik Devletleri ve Avrupa'daki kuruluşları hedef almakta, BDT ülkeleri, Küba, Kuzey Kore ve Çin'den kaçınmaktadır.
RansomHub ilk erişimi nasıl elde ediyor?
İştirakler bilinen güvenlik açıklarından yararlanır, phishing saldırılarını kullanır ve sistemlere sızmak için çalınan kimlik bilgilerinden yararlanır.
RansomHub'ın veri sızdırma yöntemleri nelerdir?
Hassas verileri şifrelenmiş kanallar üzerinden dışarı sızdırmak için Rclone ve WinSCP gibi araçlar kullanırlar.
RansomHub bir ağ içindeki ayrıcalıkları nasıl artırır?
İştirakçiler, kimlik bilgilerini almak ve sistem düzeyinde ayrıcalıklara yükselmek için Mimikatz gibi araçlar kullanır.
RansomHub hangi şifreleme yöntemini kullanıyor?
RansomHub iştirakleri kurbanların dosyalarını kilitlemek için Curve 25519 eliptik-eğri şifrelemesini kullanmaktadır.
RansomHub iştirakleri tespit edilmekten nasıl kaçınıyor?
Güvenlik araçlarını devre dışı bırakır, günlükleri temizler ve fidye yazılımı yürütülebilir dosyalarını yasal dosyaların arasına karışacak şekilde yeniden adlandırırlar.
RansomHub yanal hareket için hangi araçları kullanıyor?
Uzak Masaüstü Protokolü (RDP), AnyDesk ve PsExec gibi araçlar, tehlikeye atılmış ağlar içinde yanal olarak hareket etmek için kullanılır.
Hangi hafifletme stratejileri RansomHub saldırılarını önlemeye yardımcı olabilir?
phishing dirençli çok faktörlü kimlik doğrulama (MFA) uygulamak, güvenlik açıklarını yamalamak ve ağları bölümlere ayırmak temel hafifletme stratejileridir.
Bir RansomHub saldırısının etkisi nedir?
Mağdurlar genellikle şifreleme ve yedeklerin silinmesi nedeniyle önemli kesinti süreleri ve veri kayıpları yaşamakta, bu da operasyonel felce ve yüksek fidye taleplerine yol açmaktadır.