RansomHub 2024 yılının sonları ile 2025 yılının başlarında ortaya çıkan yeni bir ransomware olarak karşımıza çıkıyor. RaaS (Ransomware as a Service) olarak ortaya çıkan RansomHub, ransomware evriminin son türü olarak karşımıza çıkıyor. SenitelOne araştırmacıları göre ALPHV grubunun çöküşünün ardından bir çok fidye yazılımcısının birleşmesi ile ortaya çıktığını dile getiriyorlar.
Tarih aralığı olarak özellikle 2024 sonu ile 2025 yılları arasında dedim. Zira TrendMicro‘ya göre ilk olarak Şubat 2025’te ortaya çıktığı belirtilse de Darktrace araştırmacıları Eylül-Ekim aylarında bu saldırıya maruz kalan müşterilerinin olduğunu dile getiriyor. Yine Darktrace’e göre, yaptıkları incelemeler sonucunda saldırının aslında ShadowSyndicate grubu ile ilişkili olduğunu dile getiriyorlar.
Genel yargı ise saldırının 2025 Şubat ayında oldukça sık rastlandığı şekilde olduğu için, bir çok kurum 2025 Şubat’ı baz alıyor.
RansomHub Nedir?
RansomHub, RaaS olarak çalışan ve ağırlıklı olarak kimlik avı yöntemi ile enjekte olan bir ransomware türüdür. Sadece 2025 Şubat ayında bilinen 210’dan fazla kurumda görüldü. Ağırlıklı olarak ise Sağlık Sektörü, Devlet Kurumlar, Finansal Kurumlar, Üretim Ortamları ve Taşımacılık sektörünü baz almış gibi duruyor.
İçeri sızdıkları kurumların verilerini dışarı aktaran saldırganlar, hedef kuruma fidye ödemesi için 3 ile 90 gün arasında bir süre tanıdıkları, belirtilen sürede fidyenin ödenmemesi durumunda ise tüm şirket verilerini internete açacaklarını dile getiriyorlar.
CyberInt‘in verdiği bilgiye göre, saldırganlar ABD ve Avrupa Ülkelerini hedef alıyorlar. Saldırganlar, kar amacı gütmeyen kuruluşları hedef almaz iken, fidye aldıkları kurumlara da ikinci bir saldırıyı gerçekleştirmiyorlar.
RansomHub’ın geliştiricileri, Windows ve Linux ortamları için Go dilini kullanırken, VMware Esxi tarafı için ise C++ ‘ı kullanıyor.
Teknik Bilgiler
CISA’nın açıklamasına göre, genellikle kimlik avı e-postaları ile kurbana bir oltalama maili gönderiliyor. Bunun dışında çeşitli RCE açıklarıyla da sisteme sızdıkları gözlemlenmiştir. Yine CISA’nın yaptığı açıklamaya göre en çok Citrix ADC’nin CVE-2023-3519, FortiOS’un CVE-2023-27997, Apache ActiveMQ CVE-2023-46604, CVE-2023-46747, FortiClientEMS CVE-2023-48788, Microsoft SMBv1 CVE-2017-1472 ve efsane açıklardan olan Zerlogon CVE-2020-0787 açıklarını kullanarak erişim gerçekleştirdiği belirtiliyor.
İlgili yöntemleri kullanarak içeri sızan saldırganlar, AngryIPScanner, Nmap veya PowerShell yardımıyla networkte tarama başlatıyor. Özellikle 22, 445 ve 3389 portları ile tarama yapıyor.
Saldırganlar, C2 sunucusu olarak bilinen 46.x.161.x.27.x.151 IP adresi ile SSH üzerinden haberleştiği gözlemlendi. Saldırganlar ilgili bağlantıları yaptıktan sonra “rclone” aracılığı ile MEGA’ya dosyaları aktardığı dile getiriliyor.
İçeride yanal harekette ise, saldırganların ilk makineye sızdıktan sonra ve network keşfi tamamlandıktan sonra, rastgele isimlerle yanalda .exe dosyalar aracılığı ile yayılmasını büyütüyor.
