RansomHub atakuje użytkowników Windows, macOS i Linuksa

12 września, 2024

Dwie grupy ransomware RansomHub oraz Meow Ransomware stoją za serią ataków szyfrujących, które realizowane były w sierpniu 2024 r. Najczęściej atakowane są placówki edukacyjne i badawcze, instytucje rządowe i wojsko – alarmuje Check Point Software.

Światowy sektor edukacyjno-badawczy pozostaje najczęściej atakowanym sektorem, zaraz za nim są instytucje rządowe i wojskowe oraz służba zdrowia. Dla tych branż sierpień przyniósł wzmożoną aktywność cyberprzestępców, którzy szukają coraz bardziej innowacyjnych sposobów na przełamanie zabezpieczeń.

Szacuje się, że wszystkie polskie organizacje doświadczały w sierpniu br. średnio około 1900 cyberataków na pojedynczą organizację. Nawet 3,5 proc. polskich sieci doświadczyło próby ataku typu ransomware.

Zdaniem specjalistów Check Point Research, RansomHub, znany wcześniej jako Knight, przejął niedawno kontrolę nad światową sceną ransomware, atakując ponad 210 ofiar na całym świecie. Operacja, prowadzona w modelu „Ransomware-as-a-Service” (RaaS), wykorzystuje wyrafinowane techniki szyfrowania i celuje w systemy operacyjne Windows, macOS, Linux oraz popularne środowiska VMware ESXi. Za sprawą tych wydarzeń FBI, CISA oraz HHS wydały wspólne ostrzeżenie dotyczące RansomHub, wskazując na jego wyjątkowo agresywne działania. Organizacje na całym świecie muszą podnieść poziom czujności, by nie paść ofiarą tej niebezpiecznej grupy.

Cyberprzestępcy wchodząc w posiadanie danych, mogą je sprzedać, żądać okupu lub wykorzystać do innych działań przestępczych, np. wyłudzenia kredytu. Edukacja i badania to m.in. źródło poufnej wiedzy, badań i zasobów, które mogą być obiektem zainteresowania firm, państw, organizacji międzynarodowych. Placówki edukacyjne i rządowe to w końcu grupa największych pracodawców - organizacji zatrudniających wiele osób, gdzie prawdopodobieństwo skutecznego ataku na użytkownika - najsłabsze ogniwo systemu bezpieczeństwa – może okazać się skuteczne.

Meow Ransomware – nowa generacja cyberprzestępczości

Dla analityków cyberbezpieczeństwa prawdziwym zaskoczeniem okazał się jednak dynamiczny wzrost popularności Meow Ransomware. Ta nowa forma ataku, która ewoluowała z kontrowersyjnego Conti Ransomware, zmienia zasady gry – zamiast szyfrować dane ofiar, Meow skupia się na ich kradzieży i sprzedaży na czarnym rynku danych. Stworzona przez grupę cyberprzestępców platforma wycieków danych pozwala sprzedawać skradzione informacje najwyżej licytującemu, co oznacza nowy sposób monetyzacji tych operacji.

Sektor edukacyjno-badawczy pozostaje najczęściej atakowanym sektorem, zaraz za nim są instytucje rządowe i wojskowe oraz służba zdrowia. Dla tych branż sierpień przyniósł nie tylko kolejne ataki, ale i wzmożoną aktywność cyberprzestępców, którzy szukają coraz bardziej innowacyjnych sposobów na przełamanie zabezpieczeń.

Eksperci ostrzegają – świat cyberzagrożeń ewoluuje szybciej niż kiedykolwiek wcześniej. RansomHub oraz Meow Ransomware to tylko wierzchołek góry lodowej. Organizacje na całym świecie muszą nieustannie wzmacniać swoje zabezpieczenia, aby stawić czoła coraz bardziej złożonym i wyrafinowanym zagrożeniom.

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.