دست کم یکی از عملیاتهای وابسته RansomHub باجافزار به عنوان یک سرویس (RaaS)، در حملات باجافزار اخیر شروع به استفاده از دربپشتی سفارشی جدید Betruger کرده است.
بدافزار (Backdoor.Betruger) “نمونه نادری از دربپشتی چند منظوره” است که ظاهراً به طور خاص برای استفاده در انجام حملات باجافزار توسعه یافته است. Betruger دارای طیف گستردهای از قابلیتها از جمله اسکرینشاتگیری، Keylogging، آپلود فایلها به سرور فرمان و کنترل (C&C)، اسکن شبکه، ارتقا سطح دسترسی میباشد. استفاده از بدافزار سفارشی به غیر از رمزگذاری پیلودها در حملات باجافزار نسبتاً غیرعادی است. بیشتر مهاجمان به ابزارهای قانونی، living off the land و بدافزارهای در دسترس عمومی مانند Mimikatz و Cobalt Strike متکی هستند.
نفوذگران RansomHub (منتسب به Greenbottle) افزون بر تکنیک Bring Your Own Vulnerable Driver (BYVOD) جهت غیرفعالسازی راهحلهای امنیتی به ویژه EDRKillshifter، ابزارهایی مانند Rclone ،ScreenConnect ،SystemBC ،Mimikatz ،NetScan ،Atera ،Splashtop ،TightVNC ،Impacket را به کار میبرند. همچنین چندین آسیبپذیری را اکسپلویت کردهاند، از جمله نقص ارتقا سطح دسترسی (CVE-2022-24521) و نقص Veeam (CVE-2023-27532) که اعتبارنامههای پشتیبانگیری را افشا میکند.
https://www.security.com/threat-intelligence/ransomhub-betruger-backdoor
https://www.bleepingcomputer.com/news/security/ransomhub-ransomware-uses-new-betruger-multi-function-backdoor/
