بر اساس گزارشهای منتشر شده، اپراتورهای باجافزار RansomHub از ماه فوریه تاکنون دادههای بیش از ۲۱۰ زیرساخت حیاطی را رمزگذاری و استخراج کردهاند.
اهداف این باجافزار شامل سازمانهای مهم در بخشهای مختلفی مانند فناوری اطلاعات، آب و فاضلاب، خدمات و امکانات دولتی، مراقبتهای بهداشتی و بهداشت عمومی، خدمات اضطراری، غذا و کشاورزی، خدمات مالی، تسهیلات تجاری، ساختوساز حیاتی، حملونقل و زیرساختهای ارتباطاتی، بوده است.
آژانسهای دولتی اعلام کردهاند که RansomHub باجافزاری است که در گذشته با نامهای Cyclops و Knight شناخته شده و در اکثر حملات خود بهطور موفق عمل کرده است.
اطلاعات منتشر شده نشان میدهند که این باجافزار از مدل «Double Extortion» برای استخراج دادهها و رمزگذاری سیستم بهمنظور اخاذی از قربانیان استفاده میکند. دادههای استخراج شده از شرکتهای مورد هدف که از پرداخت باج تعیین شده امتناع میکنند، در بازهای بین ۳ تا ۹۰ روز، از سایتهای مربوط به نشت دادهها منتشر میشوند.
دسترسی اولیه به سیستم قربانیان با بهرهبرداری از آسیبپذیریهای زیر صورت گرفته است:
- Apache ActiveMQ (CVE-2023-46604)
- Atlassian Confluence Data Center and Server (CVE-2023-22515)
- Citrix ADC (CVE-2023-3519) F5 BIG-IP (CVE-2023-46747)
- Fortinet FortiOS (CVE-2023-27997)
- Fortinet FortiClientEMS (CVE-2023-48788)
ماهیت سودآور بودن این نوع از بدافزارها باعث ظهور باجافزارهای مشابه مانند Allarich ،Cronus ،CyberVolk ،Datablack ،DeathGrip ،Hawk Eye و Insom شده است.
همچنین این موضوع باعث شده است که مهاجمان تحت حمایت دولت ایران نیز، با گروههای NoEscape، RansomHouse و BlackCat، بهمنظور کسب درآمد همکاری داشته باشند.
توضیحات بیشتر:
- RansomHub Ransomware Group Targets 210 Victims Across Critical Sectors