Hackeři stojící za ransomware-as-a-service (RaaS) schématem RansomHub byli pozorováni, jak využívají již opravené bezpečnostní chyby v Microsoft Active Directory a protokolu Netlogon k eskalaci oprávnění a získání neoprávněného přístupu k doménovému řadiči sítě oběti jako součást své strategie po kompromitaci.

„RansomHub cílil na více než 600 organizací po celém světě, pokrývající sektory jako zdravotnictví, finance, vláda a kritická infrastruktura, čímž se pevně etabloval jako nejaktivnější ransomware skupina roku 2024,“ uvedli analytici Group-IB

Tato ransomware skupina se poprvé objevila v únoru 2024, kdy získala zdrojový kód spojený s nyní zaniklou RaaS skupinou Knight (dříve Cyclops) z kyberzločineckého fóra RAMP, aby urychlila své operace. Asi o pět měsíců později byla na nelegálním trhu inzerována aktualizovaná verze šifrovacího nástroje s možností vzdáleného šifrování dat prostřednictvím protokolu SFTP.

RansomHub přichází v několika variantách, které jsou schopné šifrovat soubory na Windows, VMware ESXi a SFTP serverech. Skupina byla také pozorována, jak aktivně rekrutuje partnery ze skupin LockBit a BlackCat v rámci partnerského programu, což naznačuje snahu využít opatření vymáhání práva zaměřená na její rivaly.

V incidentu analyzovaném singapurskou kyberbezpečnostní společností se uvádí, že hacker se neúspěšně pokusil zneužít kritickou chybu ovlivňující zařízení Palo Alto Networks PAN-OS (CVE-2024-3400) pomocí veřejně dostupného proof-of-concept (PoC), než nakonec pronikl do sítě oběti prostřednictvím útoku hrubou silou na VPN službu.

„Tento pokus o hrubou sílu byl založen na bohatém slovníku obsahujícím více než 5 000 uživatelských jmen a hesel,“ uvedli analytici. „Útočník nakonec získal přístup prostřednictvím výchozího účtu často používaného v řešeních pro zálohování dat a obvod byl nakonec prolomen.“

Zdroj: The Hacker News