RansomHub به فعال‌ترین گروه باج ‌افزار در سال ۲۰۲۴ تبدیل شد

گروه RansomHub یک گروه باج‌ افزار است که در سال ۲۰۲۴ به یکی از گروه‌های پیشرو در حملات سایبری تبدیل شد. این گروه از باج‌ افزار به ‌عنوان یک سرویس ([1]RaaS) برای انجام حملات خود استفاده می‌کند و با بهره‌برداری از آسیب ‌پذیری‌های امنیتی در سیستم‌های مختلف از جمله اکتیو دایرکتوری مایکروسافت و پروتکل Netlogon به شهرت رسید و با افزایش سطح دسترسی، موفق به دستیابی غیرمجاز به شبکه‌ها شد.

تحلیلگران Group-IB در گزارش جامعی که دوازدهم فوریه ۲۰۲۵ منتشر کردند، اعلام نمودند که گروه باج افزار  RansomHub، بیش از ۶۰۰ سازمان را در سراسر جهان مورد هدف قرار داده است که بخش‌هایی مانند مراقبت‌های بهداشتی، مالی، دولتی و زیرساخت‌های حیاتی را شامل می‌شود و آن را به فعال‌ترین گروه باج‌ افزار در سال ۲۰۲۴ تبدیل کرده است.

گروه باج ‌افزار RansomHub برای اولین بار در فوریه ۲۰۲۴ ظاهر شد و برای تسریع عملیات خود، کد منبع مرتبط با گروه Knight (همان  Cyclopsسابق) را از انجمن جرایم سایبری RAMP به دست آورد. حدود پنج ماه بعد، نسخه به ‌روزرسانی‌شده‌ای از این بدافزار در بازارهای غیرقانونی تبلیغ شد که دارای قابلیت رمزگذاری داده‌ها از راه دور توسط پروتکل SFTP بود.

این باج‌ افزار در چندین نسخه مختلف عرضه شده است و توانایی رمزگذاری فایل‌ها روی سیستم‌های ویندوز، VMware ESXi و سرورهای SFTP را دارد. همچنین، مشاهده شده است که RansomHub به‌طور فعال در حال جذب اعضای گروه‌های LockBit و BlackCat به‌عنوان بخشی از یک برنامه همکاری مشترک است؛ اقدامی که نشان‌ دهنده تلاش برای استفاده حداکثری از فشارهای اعمال ‌شده توسط نهادهای قانونی علیه رقبای آن است.

در گزارش Group-IB آمده است که گروه RansomHub ابتدا تلاش ناموفقی برای اکسپلویت یک آسیب پذیری بحرانی در دستگاه‌های PAN-OS شرکت Palo Alto Networks (با شناسه CVE-2024-3400) از طریق یک کد PoC داشتند. این کد به ‌صورت عمومی در دسترس بود. در نهایت، مهاجم با انجام یک حمله بروت ‌فورس علیه سرویس VPN به شبکه قربانی نفوذ کرد.

این حمله بروت ‌فورس توسط یک دیکشنری غنی شامل بیش از ۵,۰۰۰ نام کاربری و گذرواژه انجام شده است. مهاجم در نهایت از طریق یک حساب پیش‌فرض که معمولاً در راهکارهای پشتیبان‌گیری از داده‌ها استفاده می‌شود، به سیستم دسترسی یافت و به شبکه قربانی نفوذ کرد. مهاجم پس از این دسترسی اولیه، از آن برای اجرای حمله باج ‌افزاری استفاده کرد و فرآیند رمزگذاری و استخراج داده‌ها ظرف ۲۴ ساعت پس از نفوذ انجام شد.

این حمله شامل اکسپلویت دو آسیب پذیری شناخته ‌شده در اکتیو دایرکتوری (با شناسه CVE-2021-42278 معروف به noPac) و پروتکل Netlogon (با شناسه CVE-2020-1472 معروف به ZeroLogon) بود تا کنترل Domain Controller را به دست گیرد و برای حرکت جانبی در سراسر شبکه اقدام کند.

سوءاستفاده از این آسیب ‌پذیری‌ها به مهاجم اجازه داد تا به ‌طور کامل به Domain Controller که مرکز اصلی زیرساخت مبتنی بر ویندوز مایکروسافت است، دسترسی سطح بالا پیدا کند.

مهاجم پس از تکمیل عملیات استخراج داده‌ها، محیط را برای مرحله نهایی حمله یعنی رمزگذاری داده‌ها آماده کرد. او به گونه‌ای عمل کرد که تمامی داده‌های شرکت از جمله داده‌های ذخیره ‌شده در NASهای مختلف، کاملاً غیرقابل خواندن و غیرقابل دسترس شوند و امکان بازیابی آن‌ها وجود نداشته باشد تا قربانی ملزم گردد برای بازگرداندن اطلاعات خود باج پرداخت کند.

یکی دیگر از جنبه‌های قابل توجه این حمله، استفاده از PCHunter برای متوقف کردن و دور زدن راهکارهای امنیتی Endpoit و همچنین بهره‌گیری از FileZilla برای استخراج داده‌ها بود.

ریشه‌های گروه RansomHub، عملیات تهاجمی آن و ویژگی‌های مشترک آن با سایر گروه‌ها، وجود یک اکوسیستم پویا در دنیای جرایم سایبری را تأیید می‌کند. این گروه بر پایه اشتراک‌گذاری، استفاده مجدد و تغییر برند ابزارها و کدهای منبع رشد کرده است.

بطور کلی، افزایش فعالیت گروه RansomHub نشان‌ دهنده رشد چشمگیر قدرت آن در استفاده از تاکتیک‌های پیچیده‌تر در حملات باج‌افزار است. گروه RansomHub به ‌طور خاص با استفاده از روش‌های نوین و فناوری‌های جدید مانند باج‌ افزار به‌ عنوان یک سرویس (RaaS) و استفاده از هوش مصنوعی، از افراد یا گروه‌های دیگر نیز برای گسترش و اجرای حملات خود بهره می‌برد. شواهد حاکی از آن است که این گروه به ‌عنوان یک تهدید دائمی و رو به رشد در عرصه جرایم سایبری باقی خواهد ماند.

[1] Ransomware as a Service

منابع