Στο Threat Index του Ιουνίου που πέρασε, η Check Point υπογραμμίζει μια αλλαγή στο τοπίο του RansomwareasaService (RaaS), με το RansomHub να ξεπερνά το LockBit3 και να παίρνει την πρώτη θέση στη λίστα με πιο διαδεδομένες ομάδες ransomware. Εν τω μεταξύ, οι ερευνητές εντόπισαν μια καμπάνια backdoor BadSpace Windows που εξαπλώθηκε μέσω ψεύτικων ενημερώσεων του προγράμματος περιήγησης
Πιο συγκεκριμένα, τον περασμένο μήνα, το RansomHub έγινε η πιο διαδεδομένη ομάδα RaaS μετά τη δράση επιβολής του νόμου εναντίον του LockBit3 τον περασμένο Φεβρουάριο, που την έκανε να χάσει την πίστη των θυγατρικών της. Ως αποτέλεσμα, το LockBit3 ανέφερε ένα χαμηλό ρεκόρ μόνο 27 θυμάτων τον Απρίλιο, ακολουθούμενο από έναν ανεξήγητο υψηλό αριθμό τον Μάιο άνω των 170 και λιγότερο από 20 τον Ιούνιο κάτι ου σηματοδοτεί την πιθανή πτώση του.
Πώς οι χάκερ μπορούν να σπάσουν τον κωδικό σου σε ένα λεπτό
Πολλές θυγατρικές του LockBit3 χρησιμοποιούν τώρα κρυπτογραφητές άλλων ομάδων RaaS, οδηγώντας σε αυξημένες αναφορές θυμάτων από άλλους φορείς απειλής. Το RansomHub, το οποίο εμφανίστηκε για πρώτη φορά τον Φεβρουάριο του 2024 και φέρεται να είναι μετενσάρκωση του ransomware Knight, σημείωσε σημαντική άνοδο τον Ιούνιο με σχεδόν 80 νέα θύματα. Συγκεκριμένα, μόνο το 25% των δημοσιευμένων θυμάτων είναι από τις ΗΠΑ, με σημαντικούς αριθμούς από τη Βραζιλία, την Ιταλία, την Ισπανία και το Ηνωμένο Βασίλειο.
Σε άλλες εξελίξεις, οι ερευνητές τόνισαν μια πρόσφατη καμπάνια FakeUpdates (επίσης γνωστή ως SocGholish), η οποία κατατάχθηκε ως το πιο διαδεδομένο κακόβουλο λογισμικό, παρέχοντας τώρα μια νέα κερκόπορτα που ονομάζεται BadSpace. Ο πολλαπλασιασμός των FakeUpdates διευκολύνθηκε μέσω ενός δικτύου συνεργατών τρίτων, το οποίο ανακατευθύνει την επισκεψιμότητα από παραβιασμένους ιστότοπους σε σελίδες προορισμού FakeUpdates.
Στη συνέχεια, αυτές οι σελίδες ζητούν από τους χρήστες να κατεβάσουν αυτό που φαίνεται να είναι μια ενημέρωση του προγράμματος περιήγησης. Ωστόσο, αυτό το στοιχείο λήψης περιέχει στην πραγματικότητα ένα πρόγραμμα φόρτωσης που βασίζεται σε JScript που στη συνέχεια κατεβάζει και εκτελεί την κερκόπορτα BadSpace. Το BadSpace χρησιμοποιεί εξελιγμένες τεχνικές συσκότισης και antisandbox για να αποφύγει τον εντοπισμό και διατηρεί την επιμονή μέσω προγραμματισμένων εργασιών. Η επικοινωνία εντολών και ελέγχου είναι κρυπτογραφημένη, καθιστώντας δύσκολη την υποκλοπή.
«Φαίνεται ότι οι ενέργειες κατά του LockBit3 είχαν τον επιθυμητό αντίκτυπο. Ωστόσο,, η πτώση του δείχνει να ανοίγει μόνο το δρόμο για άλλες ομάδες να αναλάβουν τον έλεγχο και να συνεχίσουν τις εκστρατείες ransomware εναντίον οργανισμών παγκοσμίως», δήλωσε η Μάγια Χόροβιτς, VP of Research στην Check Point Software
