حمله باج‌افزار RansomHub به ۲۱۰ زیرساخت حیاتی

۱۴ شهریور ۱۴۰۳

بر اساس گزارش‌های منتشر شده، اپراتورهای باج‌افزار RansomHub از ماه فوریه تاکنون داده‌های بیش از ۲۱۰ زیرساخت حیاطی را رمزگذاری و استخراج کرده‌اند.

اهداف این باج‌افزار شامل سازمان‌های مهم در بخش‌های مختلفی مانند فناوری اطلاعات، آب و فاضلاب، خدمات و امکانات دولتی، مراقبت‌های بهداشتی و بهداشت عمومی، خدمات اضطراری، غذا و کشاورزی، خدمات مالی، تسهیلات تجاری، ساخت‌وساز حیاتی، حمل‌ونقل و زیرساخت‌های ارتباطاتی، بوده است.

آژانس‌های دولتی اعلام کرده‌اند که RansomHub باج‌افزاری است که در گذشته با نام‌های Cyclops و Knight شناخته شده و در اکثر حملات خود به‌طور موفق عمل کرده است.

اطلاعات منتشر شده نشان می‌دهند که این باج‌افزار از مدل «Double Extortion» برای استخراج داده‌ها و رمزگذاری سیستم به‌منظور اخاذی از قربانیان استفاده می‌کند. داده‌های استخراج شده از شرکت‌های مورد هدف که از پرداخت باج تعیین شده امتناع می‌کنند، در بازه‌ای بین ۳ تا ۹۰ روز، از سایت‌های مربوط به نشت داده‌ها منتشر می‌شوند.

دسترسی اولیه به سیستم قربانیان با بهره‌برداری از آسیب‌پذیری‌های زیر صورت گرفته است:

  • Apache ActiveMQ (CVE-2023-46604)
  • Atlassian Confluence Data Center and Server (CVE-2023-22515)
  • Citrix ADC (CVE-2023-3519) F5 BIG-IP (CVE-2023-46747)
  • Fortinet FortiOS (CVE-2023-27997)
  • Fortinet FortiClientEMS (CVE-2023-48788)

ماهیت سودآور بودن این نوع از بدافزارها باعث ظهور باج‌افزارهای مشابه مانند Allarich ،Cronus ،CyberVolk ،Datablack ،DeathGrip ،Hawk Eye و Insom شده است.

همچنین این موضوع باعث شده است که مهاجمان تحت حمایت دولت ایران نیز، با گروه‌های NoEscape، RansomHouse و BlackCat، به‌منظور کسب درآمد همکاری داشته باشند.

 

توضیحات بیشتر:

RansomHub Ransomware Group Targets 210 Victims Across Critical Sectors