Nhóm ransomware RansomHub nhắm mục tiêu tới 210 nạn nhân trên tất cả các lĩnh vực quan trọng
Theo các điều tra gần đây, một nhóm ransomware mới mang tên RansomHub đã gây ra hàng trăm vụ tấn công mạng thành công kể từ tháng 2 năm 2024. Nạn nhân của những cuộc tấn công trên là những tổ chức trên hầu hết mọi lĩnh vực.
1. RansomHub là ai?
Mặc dù xuất hiện lần đầu tiên vào đầu năm nay nhưng RansomHub đã được coi là một trong những nhóm ransomware kiếm được lợi nhuận cao nhất trong những nhóm tội phạm đang hoạt động.
Nhóm này vận hành hoạt động theo cơ chế ransomware-as-a-service (RaaS), chúng sẽ viết và bảo trì mã độc cũng như xây dựng cơ sở hạ tầng để phục vụ cho ransomware, và cho các nhóm tội phạm khác thuê để thực hiện những hành vi bất hợp pháp.
RansomHub sử dụng mô hình tống tiền kép, vừa đánh cắp dữ liệu vừa mã hóa hệ thống nhằm tống tiền nạn nhân. Nếu các nạn nhân từ chối yêu cầu trả tiền chuộc thì sẽ phải đối mặt với sự đe doạ bị công khai dữ liệu trong khoảng thời gian từ 3 đến 90 ngày.
2. Các nạn nhân của RansomHub
Các nạn nhân của nhóm tội phạm này trải rộng trên nhiều lĩnh vực khác nhau, bao gồm chính phủ, ngành thuỷ lợi, công nghệ thông tin, dịch vụ, chăm sóc sức khỏe và y tế công cộng, dịch vụ khẩn cấp, thực phẩm và nông nghiệp, dịch vụ tài chính, cơ sở thương mại, sản xuất, giao thông và truyền thông.
Theo một cuộc phân tích số liệu gần đây, hoạt động của nhóm RansomHub đang có xu hướng đi lên, chiếm khoảng 2% tổng số cuộc tấn công trong Quý 1 năm 2024, 5,1% trong Quý 2 và 14,2 % tính đến thời điểm hiện tại trong Quý 3. Khoảng 34% các cuộc tấn công của RansomHub nhắm vào các tổ chức ở châu Âu.
3. Các kỹ thuật RansomHub sử dụng
Để thực hiện initial access vào cơ sở hạ tầng của nạn nhân, nhóm khai thác một vài lỗ hổng bảo mật như Apache ActiveMQ (CVE-2023-46604), Atlassian Confluence Data Center and Server (CVE-2023-22515), Citrix ADC (CVE-2023-3519),F5 BIG-IP (CVE-2023-46747), Fortinet FortiOS (CVE-2023-27997) và Fortinet FortiClientEMS (CVE-2023-48788), cùng nhiều lỗ hổng bảo mật khác.
Nhóm thực hiện reconnaissance và network scanning bằng các phần mềm như AngryIPScanner, Nmap và các phương pháp living-off-the-land (LotL) khác. Các cuộc tấn công của RansomHub còn liên quan đến việc vô hiệu hóa phần mềm antivirus bằng cách sử dụng các custom tools.
Sau khi truy cập được vào hệ thống nội bộ, ransomware này tạo tài khoản người dùng để persistence, kích hoạt lại các tài khoản bị vô hiệu hóa và sử dụng Mimikatz trên Windows để thu thập thông tin xác thực và leo thang đặc quyền lên SYSTEM.
Sau đó, chúng thực hiện lateral movement thông qua các phương thức như Remote Desktop Protocol (RDP), PsExec, AnyDesk, Connectwise, N-Able, Cobalt Strike, Metasploit hoặc các phương thức command-and-control (C2) khác.
Một hành vi đáng chú ý khác của nhóm RansomHub là việc sử dụng intermittent encryption để tăng tốc quá trình mã hoá. Intermittent encryption (mã hoá gián đoạn) không phải là mã hóa toàn bộ các tệp đã chọn mà chỉ mã hóa x byte trong tệp. Cách tiếp cận này làm cho cuộc tấn công ít bị chú ý hơn, vì nó bắt chước hành vi sửa đổi tệp của các ứng dụng bình thường - trong khi vẫn khiến các tệp bị mã hoá không thể đọc được.
Cuối cùng, việc trích xuất dữ liệu sẽ được thực hiện thông qua các công cụ như PuTTY, Amazon AWS S3 buckets, HTTP POST requests, WinSCP, Rclone, Cobalt Strike, Metasploit và một số phương pháp khác.
4. Khuyến nghị
Phía FPT Threat Intelligence khuyến nghị tổ chức và cá nhân một số cách để phòng chống ransomware:
Backup hệ thống: Thực hiện backup hệ thống thường xuyên và lưu trữ các bản backup ở một hệ thống riêng biệt an toàn.
Cập nhật bản vá thường xuyên: Đảm bảo rằng máy tính luôn được bảo vệ bằng các bản vá bảo mật mới để nhất chống lại các lỗ hổng.
Hardening hệ thống: Triển khai các kỹ thuật tăng cường hệ thống.
Hạn chế việc lây lan trong mạng nội bộ thông qua phương pháp network segmentation.
Sử dụng mật khẩu mạnh để bảo vệ dữ liệu và tài khoản nhạy cảm, sử dụng xác thực đa yếu tố.
Chủ động mã hóa dữ liệu nhạy cảm.
Giảm attack surface bằng cách vô hiệu hóa những chức năng không dùng tới.
Nâng cao nhận thức nhân viên: Thông báo, tổ chức tập huấn cho nhân viên về những rủi ro và tác động của một cuộc tấn công ransomware.