Σε πρόσφατες επιθέσεις που αφορούν το ransomware RansomHub, οι εισβολείς έχουν εκμεταλλευτεί το ελάττωμα ZeroLogon στο Windows Netlogon Remote Protocol από το 2020 (CVE-2020-1472) για να αποκτήσουν αρχική πρόσβαση στο περιβάλλον του θύματος.

Δείτε επίσης: Η έκδοση Linux του TargetCompany ransomware στοχεύει VMware ESXi

Πριν από την ανάπτυξη του ransomware, οι εισβολείς χρησιμοποίησαν πολλά εργαλεία διπλής χρήσης, συμπεριλαμβανομένων προϊόντων απομακρυσμένης πρόσβασης από εταιρείες όπως οι Atera και Splashtop και σαρωτές δικτύου από το NetScan μεταξύ άλλων, σύμφωνα με τους ερευνητές της Symantec Broadcom.

Το ZeroLogon περιλαμβάνει μια συνθήκη κλιμάκωσης προνομίων που εμφανίζεται όταν ένας εισβολέας δημιουργεί μια ευάλωτη σύνδεση ασφαλούς καναλιού Netlogon σε έναν ελεγκτή τομέα, χρησιμοποιώντας το Netlogon Remote Protocol“, λέει ο Adam Neel, ανώτερος μηχανικός ανίχνευσης απειλών στην Critical Start. «Είναι πολύ σημαντικό για τους οργανισμούς να διασφαλίσουν ότι αυτή η ευπάθεια ZeroLogon θα διορθωθεί και θα μετριαστεί για να βοηθήσει στην προστασία από επιθέσεις ransomware από το RansomHub».

Το RansomHub είναι μια λειτουργία ransomware-as-a-service (RaaS) και μια απειλή που έχει συγκεντρώσει μεγάλη προσοχή από τότε που εμφανίστηκε για πρώτη φορά τον Φεβρουάριο. Η Symantec το κατατάσσει επί του παρόντος ως το τέταρτο πιο παραγωγικό ransomware όσον αφορά τα αιτούμενα θύματα, μετά το Lockbit , το Play και το Qilin.

Δείτε ακόμα: LockBit ransomware: Το FBI ανέκτησε πάνω από 7.000 κλειδιά αποκρυπτογράφησης

Η BlackFog – μεταξύ πολλών προμηθευτών ασφαλείας που παρακολουθούν την απειλή – έχει απαριθμήσει περισσότερους από πέντε δωδεκάδες οργανισμούς που το RansomHub έχει στοχεύσει τους λίγους μήνες που λειτουργεί. Πολλές φαίνεται να είναι μικρότερες και μεσαίου μεγέθους εταιρείες, αν και υπάρχουν και μερικά αναγνωρίσιμα ονόματα, με πιο αξιοσημείωτα τον Οίκο δημοπρασιών Christie’s και τη θυγατρική Change Healthcare της UnitedHealth Group.

Ο Dick O’Brien, κύριος αναλυτής πληροφοριών στην ομάδα κυνηγών απειλών της Symantec, λέει ότι η ομάδα ransomware που εκμεταλλεύτηκε το ZeroLogon, έχει παραδεχτεί δημόσια 61 θύματα

τους τελευταίους τρεις μήνες. Αυτό συγκρίνεται με τα 489 θύματα του Lockbit, τα 101 της ομάδας Play και τα 92 του Qilin, λέει.

Το RansomHub είναι μεταξύ μιας μικρής ομάδας χειριστών RaaS που εμφανίστηκαν μετά την πρόσφατη κατάργηση από τις αρχές επιβολής του νόμου των μεγάλων εταιρειών ransomware Lockbit και ALPHV/BlackCat. Ο όμιλος προσπάθησε να αξιοποιήσει μέρος της αβεβαιότητας και της δυσπιστίας που προκλήθηκε από τις καταργήσεις για να προσπαθήσει να προσελκύσει νέες θυγατρικές στο RaaS του. Μία από τις τακτικές της είναι να προσφέρει στους συνεργάτες τη δυνατότητα να συλλέγουν λύτρα απευθείας από τα θύματα και στη συνέχεια να πληρώνουν στο RansomHub μια ένα ποσοστό 10%. Αυτό είναι πολύ διαφορετικό από το συνηθισμένο μοντέλο όπου ο χειριστής RaaS είναι αυτός που συλλέγει τις πληρωμές λύτρων από τα θύματα και αργότερα πληρώνει ένα ποσοστό στη θυγατρική.

Δείτε επίσης: Η Ρωσία πίσω από τη ransomware επίθεση στα νοσοκομεία του Λονδίνου

Το Ransomware-as-a-Service (RaaS), όπως το RansomHub που εκμεταλλέυεται το ZeroLogon σε επιθέσεις, αντιπροσωπεύει μια αυξανόμενη απειλή στη σφαίρα της ασφάλειας στον κυβερνοχώρο. Αυτό το μοντέλο επιτρέπει στους εγκληματίες του κυβερνοχώρου, συχνά με ελάχιστη τεχνική εξειδίκευση, να αναπτύσσουν επιθέσεις ransomware ενοικιάζοντας τα απαραίτητα εργαλεία και υποδομές από πιο εξειδικευμένους προγραμματιστές. Λειτουργώντας παρόμοια με τις νόμιμες επιχειρήσεις Software-as-a-Service (SaaS), οι πλατφόρμες RaaS προσφέρουν φιλικές προς το χρήστη διεπαφές, υποστήριξη πελατών και διαχείριση πληρωμών. Ως αποτέλεσμα, το εμπόδιο εισόδου για τη διεξαγωγή επιθέσεων ransomware μειώνεται σημαντικά. Αυτός ο πολλαπλασιασμός οδήγησε σε αυξημένη συχνότητα και πολυπλοκότητα περιστατικών ransomware, θέτοντας σημαντικούς κινδύνους για άτομα, οργανισμούς και κυβερνήσεις παγκοσμίως.

Πηγή: darkreading