TTL OSINT

26.07.2024 373 2 мин.

Программа–вымогатель RansomHub - Раскрыты новые цепочки заражения

Лаборатория 52, подразделение анализа угроз S2 Grupo, проанализировала два образца программы-вымогателя Ransom Hub, один из которых (sample2.exe) был обнаружен в полевых условиях в июне 2024 года. Оба примера требуют ввода пароля для выполнения и использования методов обфускации для затруднения анализа. Sample2.exe включает опцию "режим быстрого шифрования", в то время как sample1.exe по умолчанию используется выключение виртуальных машин. Программа-вымогатель разработана на Go и использует инструменты обфускации с открытым исходным кодом, такие как Garble и GoReSym, для защиты своего кода. В цепочках заражения используются различные тактические приемы, такие как использование расширенного сканера портов и ScreenConnect для sample1.exe или запутанных сценариев PowerShell с задержкой выполнения для sample2.exe. Группа RansomHub, занимающаяся разработкой программ-вымогателей как услуг (RaaS), была связана с программой-вымогателем code of the Knight, и в последние месяцы ее влияние на глобальном и региональном уровнях возросло, особенно в Латинской Америке и Европе.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, позволяющего ускорить интеграцию статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка:<<ссылка на страницу="https://lab 52.io/blog/ransomhub/">https://lab 52.io/blog/ransomhub /

Примеры признаков компромисса:

• 3dabecacc40e2904beba9372e95cf25cec8bb021c080f5d892fbf2eeb0e97006
• fb78afe826a14d4e0cc883fcdb6fe339e45a3fe728e575137b231aec6418a18f

Источник: TTL OSINT