Uma nova cepa de ransomware chamada RansomHub foi identificada como uma versão atualizada e rebatizada do ransomware Knight. O Knight, também conhecido como Cyclops 2.0, surgiu em maio de 2023 e utiliza táticas de dupla extorsão para roubar e criptografar dados das vítimas, operando em múltiplas plataformas como Windows, Linux, macOS, ESXi e Android. Inicialmente vendido no fórum de cibercrime RAMP, o Knight foi distribuído através de campanhas de phishing e spear-phishing. A operação de ransomware como serviço (RaaS) foi encerrada em fevereiro de 2024, quando seu código-fonte foi vendido, indicando uma possível mudança de mãos e o relançamento sob o nome RansomHub.
O RansomHub já foi associado a vários ataques recentes, incluindo aqueles contra Change Healthcare, Christie’s e Frontier Communications. O grupo por trás do RansomHub prometeu não atacar entidades nos países da Comunidade dos Estados Independentes (CIS), Cuba, Coreia do Norte e China. A Symantec observou que tanto o Knight quanto o RansomHub são escritos em Go e ofuscados com Gobfuscate, com uma sobreposição significativa de código entre eles, dificultando a distinção. Ambos compartilham menus de ajuda idênticos na linha de comando, com o RansomHub adicionando um comando “sleep” para atrasar a execução. As semelhanças também incluem técnicas de ofuscação de strings, notas de resgate e a capacidade de reiniciar o sistema em modo de segurança antes da criptografia. A principal diferença é o conjunto de comandos executados via cmd.exe, embora a ordem e o modo de execução sejam semelhantes.
Ataques do RansomHub têm explorado falhas de segurança conhecidas, como a ZeroLogon, para obter acesso inicial e instalar software de desktop remoto como Atera e Splashtop antes de implantar o ransomware. Em abril de 2024, a Malwarebytes confirmou 26 ataques, colocando o RansomHub atrás do Play, Black Basta e LockBit. O rápido estabelecimento do RansomHub sugere que o grupo é composto por operadores veteranos com experiência e contatos no submundo cibernético. Este desenvolvimento ocorre em meio a um aumento na atividade de ransomware em 2023, com um terço das novas famílias sendo variantes de ransomware já conhecidos, refletindo a prevalência de reutilização de código e rebranding.