RansomHub: hacker usano backdoor Betruger per rubare dati

​Un nuovo tipo di backdoor personalizzata, recentemente individuata in diversi attacchi ransomware, è stata collegata ad almeno un affiliato dell’operazione RansomHub, un servizio di ransomware-as-a-service (RaaS). I ricercatori di Symantec, che hanno battezzato questo malware Betruger, lo descrivono come un raro esempio di backdoor multifunzione, probabilmente progettata appositamente per attacchi ransomware. Questo malware dispone di numerose funzionalità tipiche degli strumenti utilizzati prima di diffondere un ransomware. Tra queste, figurano registrazione dei tasti premuti (keylogging), scansione della rete, aumento dei privilegi di accesso, furto di credenziali, acquisizione di schermate e caricamento di file su un server di comando e controllo (C2).

Come affermato il Threat Hunter Team di Symantec: "La funzionalità di Betruger indica che potrebbe essere stato sviluppato per ridurre al minimo il numero di nuovi strumenti rilasciati su una rete mirata mentre viene preparato un attacco ransomware. L'uso di malware personalizzati diversi dalla crittografia dei payload è relativamente insolito negli attacchi ransomware. La maggior parte degli aggressori si affida a strumenti legittimi, vivendo della terra e malware disponibili al pubblico come Mimikatz e Cobalt Strike".

RansomHub: ransomware sviluppati per rubare dati sensibili

Gli aggressori dietro la backdoor Betruger la stanno rilasciando utilizzando i nomi file "mailer.exe" e "turbomailer.exe". Ciò avviene per camuffarla come un'app legittima correlata alla posta. Anche se altri gruppi ransomware hanno sviluppato strumenti malevoli personalizzati, questi sono stati principalmente progettati per rubare dati sensibili dai sistemi compromessi delle vittime. Tra questi strumenti ci sono Exmatter di BlackMatter e Exbyte di BlackByte, entrambi utilizzati per caricare i file sottratti su servizi di archiviazione cloud come Mega.co.nz.

L'operazione ransomware-as-a-service (RaaS) RansomHub è emersa nel febbraio 2024. È stata collegata all'estorsione basata sul furto di dati piuttosto che alla crittografia dei dati sui sistemi violati delle vittime. Da quando è emersa, i cybercriminali hanno mietuto numerose vittime di alto profilo. Tra queste vi sono gigante dei servizi petroliferi Halliburton, la casa d'aste Christie's, la divisione UE di Kawasaki e il Bologna Football Club. RansomHub ha anche fatto trapelare i dati rubati di Change Healthcare dopo la truffa di uscita da 22 milioni di dollari dell'operazione ransomware BlackCat/ALPHV. Più di recente, ha rivendicato la violazione di BayMark Health Services, il più grande fornitore di trattamenti per le dipendenze negli Stati Uniti. Infine, L'FBI afferma che gli affiliati di RansomHub hanno violato i dati di oltre 200 vittime in diversi settori infrastrutturali critici degli Stati Uniti.