Les chercheurs en sécurité qui analysent le RansomHub ransomware-as-a-service relativement nouveau pensent qu’il a évolué à partir du projet Knight ransomware actuellement disparu.

RansomHub a une courte histoire et fonctionnait principalement comme un groupe de vol et d’extorsion de données qui vend des fichiers volés au plus offrant.

Le gang a attiré l’attention à la mi-avril lorsqu’il a divulgué des données volées de la filiale de United Health Change Healthcare à la suite d’une attaque BlackCat/ALPHV, suggérant une certaine forme de collaboration entre les deux.

Plus récemment, le 28 mai, la maison de vente aux enchères internationale Christie’s a admis avoir subi un incident de sécurité après que RansomHub ait menacé de divulguer des données volées.

Le ransomware Knight a été lancé fin juillet 2023 en tant que changement de marque de l’opération Cyclope et a commencé à violer les machines Windows, macOS, Linux/ESXi pour voler des données et demander une rançon.

L’une des particularités de Knight était qu’il offrait également aux affiliés un composant de vol d’informations qui pouvait rendre les attaques plus percutantes.

En février 2024, le code source de la version 3.0 du ransomware Knight a été mis en vente sur des forums de pirates informatiques, le portail d’extorsion des victimes a été mis hors ligne et l’opération RaaS est devenue silencieuse.

Message de vente de ransomware Knight sur les forums RAMP

Origine du chevalier de RansomHub
Les analystes de logiciels malveillants de Symantec, qui fait partie de Broadcom, ont découvert de multiples similitudes entre les deux familles de ransomwares qui indiquent une origine commune:

  • Les deux familles de ransomwares sont écrites en Go et utilisent Obfuscate pour l’obscurcissement.
  • Il existe de nombreux chevauchements de code dans les deux charges utiles de logiciels malveillants.
  • Les deux utilisent une technique d’obscurcissement unique où les chaînes importantes sont codées avec des clés uniques.
  • Les notes de rançon utilisées par les deux familles de ransomwares sont similaires, avec des mises à jour mineures ajoutées sur RansomHub.
  • Les deux familles de ransomwares redémarrent les terminaux en mode sans échec avant le chiffrement.
  • Les menus d’aide en ligne de commande sur les deux familles sont identiques, la seule différence étant une commande ‘sleep’ sur RansomHub.
  • La séquence et la méthode des opérations d’exécution des commandes sont les mêmes, bien que RansomHub les exécute désormais via cmd.exé.
Comparaison des menus d’aide en ligne de commande, Knight (à gauche), Ransom Hub (à droite)

Ce qui précède suggère que RansomHub était probablement dérivé de Knight et confirme que le groupe d’extorsion utilise effectivement un chiffreur de données.

De plus, l’heure à laquelle Randomhub est apparu pour la première fois dans l’espace de la cybercriminalité, en février 2024, correspond à la vente du code source Knight.

Selon les chercheurs, il est peu probable que Random Hub soit géré par les créateurs de ransomwares Knight. Ils pensent qu’un autre acteur a acheté le code source de Knight et a commencé à l’utiliser dans des attaques.

Depuis son apparition, RansomHub est devenu l’une des opérations RaaS les plus prolifiques, que Symantec attribue au gang attirant d’anciens affiliés de l’opération ALPHV, tels que Notchy et Scattered Spider.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *