I ricercatori di Symantec hanno individuato una nuova minaccia informatica legata agli attacchi del gruppo ransomware RansomHub. Si tratta di Betruger, una backdoor personalizzata che si distingue per la sua multifunzionalità, consentendo agli aggressori di eseguire diverse operazioni malevole con un unico strumento. Tra le sue capacità figurano lo screenshotting, il keylogging, il caricamento di file su server di comando e controllo, la scansione della rete e il dumping delle credenziali, funzionalità che solitamente vengono affidate a più strumenti distinti.
L’uso di malware personalizzati al di fuori dei payload di crittografia è piuttosto raro nel panorama degli attacchi ransomware. Solitamente, gli attaccanti si affidano a strumenti già noti come Mimikatz e Cobalt Strike, oppure sfruttano software legittimi per evitare di destare sospetti. Tuttavia, l’integrazione di più funzionalità in un’unica backdoor suggerisce che Betruger sia stato sviluppato per ridurre al minimo la necessità di distribuire più strumenti all’interno di una rete compromessa, facilitando le operazioni di attacco e rendendo più difficile il rilevamento da parte delle soluzioni di sicurezza.
Negli ultimi mesi, gli affiliati di RansomHub hanno utilizzato una varietà di strumenti per compromettere i sistemi delle vittime. Oltre a Betruger, hanno sfruttato vulnerabilità critiche come CVE-2022-24521 e CVE-2023-27532, l’uso di software di accesso remoto come Atera e Splashtop e strumenti open-source come Rclone e Impacket per esfiltrare dati. Inoltre, il gruppo ha adottato tecniche avanzate per aggirare le difese di sicurezza, come EDRKillshifter e la tecnica Bring Your Own Vulnerable Driver (BYVOD), che consente di sfruttare driver vulnerabili per disattivare le soluzioni di sicurezza.
RansomHub si è rapidamente imposto come uno dei gruppi ransomware più attivi del 2024. Gestito da un’organizzazione criminale identificata come Greenbottle, il gruppo ha guadagnato popolarità tra gli affiliati grazie anche a un modello economico vantaggioso offerto agli affiliati, con percentuali di guadagno elevate e un sistema di pagamento che permette ai cybercriminali di ricevere i riscatti direttamente dalle vittime prima di versare la loro quota agli operatori. Questo approccio ha attirato numerosi affiliati, aumentando la capacità operativa del gruppo e il numero di attacchi portati a termine.
https://www.security.com/threat-intelligence/ransomhub-betruger-backdoor
