製造業の現場を狙うサイバー脅威が進化する中、サイバー犯罪グループ「RansomHub」はOT環境やSCADAシステムを標的に活動を強化しています。工場の稼働停止や情報漏洩を狙うこの攻撃グループは、極めて巧妙な手法でネットワークに侵入し、制御系にも深刻な被害を及ぼします。本記事では、RansomHubの特徴と手口、現場で取るべき実践的なサイバーセキュリティ対策を解説します。
RansomHubは、まるで精巧に動く機械のように機能しており、アフィリエイト(攻撃を仕掛けるサイバー犯罪者)を募集し、LinuxおよびWindowsのエンドポイント向けにランサムウェアのペイロードを提供しています。しかし、彼らの真の革新性は、サイバー犯罪の経験が浅い初心者から、より大規模な標的を狙う熟練の攻撃者に至るまで、さまざまなレベルのサイバー犯罪者を惹きつけるために設計された、多層ユーザーがアクセスできる点にあります。この仕組みによって、RansomHubの顧客は、より高額な料金を支払うことで、追加のサポートやカスタマイズされたツールを受け取ることができるため、この階層型のビジネスモデルは、驚くほど広範な(予備軍を含む)攻撃者に容易に受け入れられるものになっています。
RansomHubは、2024年に最も活発なランサムウェアグループであったことからも、重大な脅威であることは明らかであり、その手法を詳細に研究・分析することで、企業はより的確な対策を講じることができるでしょう。2024年5月の時点で、RansomHubはすでにOT環境、特にSCADAシステムに標的を移行させており、「最大限の影響」を狙って相互接続されたシステムを意図的に攻撃しているのは明らかであるとCyber Expressは報じています。その攻撃の巧妙さは、攻撃の実施手法に表れています。ここでは、説明を単純化するために、RansomHubの攻撃目的を次のように分けています。
- 1.信頼と認証情報の武器化
- 2.検知を回避して潜伏
- 3.ネットワークを支配
- 4.標的への恐喝
信頼と認証情報の武器化
RansomHubのアフィリエイト(攻撃実行者)は、さまざまな手法を用いて初期アクセスを行いますが、その多くは標的が誤って信頼を寄せた相手に騙されるという点がポイントになります。
フィッシングメール
攻撃者が信頼できる送信元を装って送ったメールの添付ファイルやリンクを、標的がクリックしてしまうことでシステムが侵害されるという、典型的なソーシャルエンジニアリングの手口です。
スピアフィッシング
標的に「本物」だと思わせるために、一部のアフィリエイトは標的を絞ったこのサイバー攻撃を用います。一部の例では、より信頼性を高めるためにアメリカ訛りの話者による音声詐欺まで用いられていました。
パスワードスプレー
アフィリエイトが、ありふれたパスワードや再利用されたパスワードを多数のアカウントに用いる手法で、例えるならば、泥棒が建物内のすべてのドアに対して同じピッキングツールを使うようなものです。
既知の脆弱性の悪用
RansomHubが悪用することの多い脆弱性の一部は、CISAのウェブサイトで公開されているアドバイザリーで詳しく解説されています。ここでは注目すべき2つの例をご紹介します。
a. Zerologonの脆弱性(CVE-2020-1472):
これはMicrosoftのActive Directory Netlogon Remote Protocol(MS-NRPC)の欠陥を突くものです。この脆弱性は古くから知られていますが、CVSS(共通脆弱性評価システム)で満点の10点と評価されているほど重大なものです。これが悪用されると、攻撃者は初期アクセスだけでなく、Active Directory環境における最上位権限であるドメイン管理者(Domain Admin)の権限を取得できてしまいます。このような巧妙な手法を使うことで、RansomHubのアフィリエイトは一石二鳥以上の目的を達成できます。
b. Citrix ADCの脆弱性(CVE-2023-3519):
Citrix ADCは広く使用されているアプリケーション配信コントローラで、RansomHubのアフィリエイトが標的ネットワークへの足がかりを得るためによく利用します。この脆弱性は、認証されていない攻撃者がリモートでコードを実行できるというもので、認証情報なしでシステムを侵害し、マルウェアやリバースシェルなどのペイロードを展開し、内部ネットワークへアクセスする能力を攻撃者に与えてしまいます。
イニシャル・アクセス・ブローカー
近年では、脆弱性情報や認証情報をアフィリエイトに販売するエージェントが登場しています。RansomHubのアフィリエイトはこれらを積極的に活用することで、作業を効率化し、攻撃チェーンの他の部分に集中できるようになります。
検知を回避して潜伏
ネットワークへの侵入に成功した後、次に優先されるのは、検知されずに潜伏し続けて攻撃を完遂することです。
環境の洗い出し
攻撃者は、PowerShellなどの「環境寄生型(LotL:Living off the Land)」ツールと、Angry IP ScannerやNetScanなどのオープンソースツールを組み合わせて環境をスキャンします。PowerShellはWindows環境に標準搭載された正規のスクリプト言語であり、LotLの代表格と言えます。システムに内蔵されているため、従来のマルウェアのようにアラートを発することなく、ユーザープロファイルやアカウントの調査や識別、ネットワーク構成のクエリ、アクセス可能なホストの検出、さらにはリモート実行の支援までを密かに進行させることができます。Angry IP Scanner、Nmap、NetScanなどのオープンソースツールを用いて、ネットワークをマッピングし、稼働中のホストを特定して、脆弱な資産を洗い出すことができます。LotLツールとオープンソースツールを連携させて使用することによって、攻撃者は検知されることなく侵害済みネットワーク内を移動し、より多くの情報を携えて次の行動を計画できます。
しかし、PowerShellの影響はこれだけにとどまりません。攻撃の初期段階で、攻撃者が新たな侵害範囲を把握するのに使われるだけでなく、悪事を終えた後には痕跡を消すためにも利用されます。vssadmin.exeというコマンド・ライン・ユーティリティは、PowerShell経由で呼び出されることが多く、Volume Shadow Copy Service(VSS)によるスナップショットをすべて目立たずに削除することができます。通常、この削除は、ランサムウェアの展開中に実行され、Windowsのバックアップおよび復元機能を無効化します。この無効化によって、完全な復旧が遅れ、フォレンジック分析も妨げられてしまいます。
防御機能の回避
ステルス性は防御機能を回避する際には非常に重要です。アフィリエイトが検出されると、防御機能がトリガーされ、攻撃全体が封じ込められる可能性があります。当然ながら、攻撃側は防御機能回避のために次のような多層的な手法を用いています。
EDRKillShifter
これは脆弱なドライバーを悪用して、エンドポイント・ディテクション&レスポンス(EDR:Endpoint Detection and Response)製品を無効化するツールです。いわゆる「BYOVD(Bring Your Own Vulnerable Driver)」の典型的な手法であり、正規でありながら脆弱性を含むドライバーをシステムに導入します。EDRKillShifterはこの脆弱なドライバーを解凍してインストールするローダーとして機能し、その後そのドライバー内の脆弱性を突いてシステムのカーネルレベルの権限を取得し、EDRやウイルス対策ツールを無効化します。しかも、この操作を通して、アラートが発せられることがありません。極めて重要なのは、この手法が成功すれば、システムがいったん侵害されると、マルウェアが自由に動作できる環境が整うという点です。さらに複数のバッチスクリプトが用意されており、それぞれには次のような明確な役割があります。
- 232.bat:パスワードスプレーの実行およびWindows Defenderのリアルタイム保護の無効化に使用されます。
- tdsskiller.bat:レジストリ設定を変更し、既定のコマンド・ライン・インターフェース(CLI)プログラムをリセットしたうえで、ワイルドカードやフィルタを使って、ウイルス対策サービスなど幅広いプロセスを強制終了します。
- killdeff.bat:暗号化されたPowerShellコマンドを実行してDefenderの設定、レジストリキー、UACプロンプトの不正操作を行い、難読化および条件付きロジックを駆使して権限を昇格させます。
- LogDel.bat:Default.rdpファイルの属性を変更し、レジストリ内のリモート・デスクトップ・プロトコル(RDP)の設定を変更することで証拠を消します。また、Windowsイベントログの削除にはwevtutilを使用し、フォレンジック調査を妨害します。
セーフモードの暗号化
RansomHubは、単にファイルを暗号化するだけではなく、まるで手術のような精密さでこれを実行します。このランサムウェアは、-safeboot や safeboot-instance などのパラメータを備えており、セーフモードでの再起動を強制します。セーフモードは診断モードであり、ほとんどのセキュリティソフトが動作しません。そのため暗号化処理は妨げられることなく実行されます。暗号化が完了すると、マルウェアは .1d7fdb などの身代金要求メモから派生した拡張子をファイルに付加し、暗号化が成功したことを知らせます。
h4
これらの手法を組み合わせることで、静かに潜伏する方法を知っているグループが検出される頃には、手遅れになっています。標準搭載されたツールの活用、カスタムスクリプトの使用、カーネルレベルでの回避策、そしてフォレンジック痕跡の破壊といった要素が、ランサムウェア展開における戦略的かつステルス性の高い手法を裏付けています。
ネットワークを支配
ここでは、RansomHubのアフィリエイトが、どのようにして侵入したシステムを計画的に掌握していくのかを説明します。彼らはAngry IP ScannerやNmapなどのツールを使って全体像を把握した後、認証情報の取得や権限昇格、ラテラルムーブメント(横方向の移動)、永続化、そしてコマンド&コントロール(C2)へとスムーズに進みます。これらすべてのプロセスは密接に連携していますが、究極の目的は、必要な期間、できる限りネットワークの大半の支配権を保持することにあります。
認証情報の取得と権限昇格
MimikatzやWindowsタスクマネージャーなどのツールを使用し、攻撃者はLSASSプロセスから認証情報を抽出して、システムレベルの権限へと昇格させます。LSASS(Local Security Authority Subsystem Service)は、Windowsにおいて認証を処理する重要なプロセスであり、NTLMハッシュ、プレーンテキストのパスワード、Kerberosチケットなどの機密性の高い認証情報をメモリ上に保持しています。この情報を抽出することで、攻撃者はユーザーのなりすまし、重要なシステムへのアクセス、支配領域の拡大を行います。
彼らは、新たなユーザーアカウントの作成、無効化されていたアカウントの再有効化、時には、侵入経路の一部が封じられたとしても引き続きシステムにアクセスできるように、レジストリキーの変更を行って攻撃の永続化を実現して、自らの立場をさらに強固にします。これは、彼らがあらゆる不測の事態に備えて、容赦ない攻撃を達成する先見性の高さを有していることを示しています。
ラテラルムーブメント
一見すると単なる拡散のように見えるラテラルムーブメントですが、実際にはネットワーク内で戦略的に前進する手法と言えます。攻撃者は「中枢」に到達するまでの道を切り開き、標的が実際の損害を被るまで、簡単に排除されないようにします。RansomHubのアフィリエイトは、標的の内部環境を横断して展開し、個人情報(PII)などの高価値ターゲットを探し出して、永続化を確立しつつ、暗号化や情報の抜き取りを同時に実施できるよう準備します。この手法は、標的に身代金を支払わせるプレッシャーを最大化するもので、実質的には、すべての重要なシステムを同時に攻撃するよう調整されています。昇格した認証情報を武器にして、RansomHubのアフィリエイトは以下のように行動します。
- RDP、PsExec、SMB/Windows管理共有、ConnectWise、AnyDeskを使用して、リモートシステムへのアクセスおよびコマンド実行を行います。
- RDPバッファインジェクション(Lateral Tool Transfer)を利用してマルウェアを配布します。
- PowerShellスクリプト、NetScan、AngryIPScannerを活用して、重要システムの特定およびネットワーク構造のマッピングを行います。
- NASデバイスの共有フォルダにツールをアップロードし、攻撃を準備してバックアップストレージ内で存在を確固たるものにします。
コマンド&コントロール(C2)
足場を築き、ラテラルムーブメントが完了すると、RansomHubのアフィリエイトは感染済みシステムとのリアルタイムな通信を維持しなければなりません。ここで登場するのがコマンド&コントロール(C2)インフラです。これにより、攻撃者は感染ホストに対するリモートコマンドの送信、データのセキュアな抜き出し、追加のペイロードやアップデートの展開、ネットワーク全体での暗号化のタイミングの調整などを行います。
C2通信は暗号化され、かつ正規のトラフィックに偽装されることが多く見られます。たとえば、HTTPSやDNSトンネリング、Torの隠しサービスなどを経由して通信することで、検知を回避します。RansomHubのアフィリエイトは、以下のよう柔軟性のあるオープンソースおよび商用のリモート管理ツールを併用し、正規ネットワーク活動に紛れ込むことで知られています。
・Atera、Splashtop、AnyDesk:
これらの商用リモート・アクセス・ツールはITサポート向けに設計されており、ネットワーク上に存在していても不審に思われにくい特徴があります。アフィリエイトはこれらをステルス性があり、永続的なアクセス手段として導入・設定します。
・NgrokとRemmina:
これらのツールを使用すると、内部システムへのセキュアなトンネリングが可能になります。特にNgrokは、VPNを使わずにローカルサービスをセキュアなトンネルで外部に公開できるため、境界防御による検知を回避するのに役立ちます。
・Cobalt StrikeとMetasploit:
これらの侵入テストフレームワークは、ランサムウェア攻撃者によって頻繁に悪用されています。内部への侵入に成功すると、これらのツールを使ってビーコン、バックドア、シェルコードペイロードを作成することが可能になります。たとえばCobalt Strikeを使用すれば、攻撃者はシステムを密かに監視したり、複数のセッションを管理したり、ポストエクスプロイトモジュールをオンデマンドで実行することができます。
永続化およびC2アクセスは、ランサムウェアの展開、身代金メモの提示、そして標的との交渉開始まで維持されます。RansomHubの場合、一部のアフィリエイトは、暗号化の完了までC2セッションを保持しており、攻撃のオーケストレーションだけでなく、交渉やサポートのためにもC2を活用しています。
トレンドマイクロやDarktraceによる公開レポートによれば、一部のアフィリエイトは交渉段階に入ってからもアクセスを維持し、身代金支払いの確認や標的の復号データの支援、アフィリエイトが「取引」を尊重するようにするなど、RansomHubの犯罪者としての評価を保持しようとしています。こうした暗号化後のC2活動は、まるでカスタマーサポート窓口のようであり、RansomHubがビジネスライクな構造とアフィリエイト管理を重視していることを示しています。
これらすべての活動を総合すると、RansomHubという攻撃者が、まるで訓練された強襲部隊のように行動していることがわかります。彼らはアクセスを悪用し、急速に拡散して、強固な運用体制で重要なシステムを人質に取ります。
標的への恐喝
最後に、標的に対する恐喝に関して、RansomHubは二重恐喝を採用しています。これは、データの抜き取りと暗号化を組み合わせた破壊力の高い手法です。
データの抜き取り
当社のアニュアル・セキュリティ・レポートでも指摘しているとおり、RansomHubのランサムウェア自体には、他の多くの二重恐喝型マルウェアと異なり、データを持ち出す機能は本来備わっていません。その代わりに、Rclone、WinSCP、PuTTY、FileZilla、および攻撃者が管理するインフラにHTTP POSTリクエストを送信するなど、ツールを用いて、アフィリエイトが別々にデータの抜き取りを行います。
この件についてはトレンドマイクロやGroup-IBもドキュメント化しています。このようなツールは、攻撃者が管理するクラウドストレージやサーバーに機密情報を抜き出す目的でよく使われます。データの抜き取りが暗号化とは別手順になっている点からも分かるように、幅広いRaaS(Ransomware as a Service)モデルの中では、攻撃手順がアフィリエイトによってカスタマイズされたり、モジュールレベルで手動で実行されたりできることを示しています。これは、RansomHubの攻撃手法の適応力が高く、柔軟であることを改めて物語っています。また一部のアフィリエイトは、SSHベースの抜き取り技術も使用しており、検知がさらに困難なセキュアなトンネルを通じて盗み出したデータを密かに転送する手法がとられています。
これは、DarktraceによるShadowSyndicate関連キャンペーンのレポートに記されています。
暗号化
データの抜き取りの後、正確に暗号化処理が開始されます。暗号化とは、標的の企業に対して「何かがかなりおかしい」ことを突きつける行為です。この時点で標的は、システムへのアクセスを封じられることに加えて、データ侵害の脅威というダブルパンチに見舞われることになります。これが、二重恐喝手法による不意打ちの一撃であり、「板挟み」という表現では不十分なくらいの絶望的な状況です。RansomHubのペイロードは、ファイルを断片的に暗号化する「断続的暗号化」に対応しており、処理を高速化しながら、データを使用不能にします。ESXi、Linux、Windowsといった対象システムに応じて、Curve25519、AES、ChaCha20などの暗号化アルゴリズムが使用されることが、SentinelOneおよびCybleにより確認されています。また、vssadmin.exeを用いてシャドーコピーを削除するため、復旧手段は完全に排除されます。
恐喝
暗号化が完了すると、標的のもとに身代金要求のメモが残されます。このメモはたいてい、暗号化後に「README_[a-zA-Z0-9]{6}.txt」などのファイル名でドロップされ、Torネットワーク経由で攻撃者に連絡するよう指示が記載されています。
CISA(米国サイバーセキュリティ社会基盤安全保障庁)の報告によると、最初の段階では身代金の金額が記載されていないのが一般的です。代わりに、被害者はTor経由で攻撃者に連絡するようプレッシャーをかけられ、その後交渉の期限(3日~90日)が設定され、それまでに応じなければデータを流出させると脅されます。
重要なのは、RansomHubの交渉モデルが「ビジネス志向」的アプローチであるという点です。仮にアフィリエイトが、身代金の支払いを受けたにもかかわらず復号ツールを提供しなかった場合、RansomHub本体が介入して復号ツールを提供し、契約を反故にしたそのアフィリエイトを排除すると主張しています。このような「カスタマーサービス精神」がグループの信頼性を保ち、将来の標的(被害者)に「この犯罪者グループは約束を守る」と印象づける効果を狙っています。
軽減対策
備えあれば憂いなし。RansomHubの活動の実態が明らかになった今、これほどの危険な脅威には確固たる防御の仕組みと軽減対策が必須であることは明白です。攻撃者がこれほど巧妙かつ多層的に仕掛けてくる以上、防御側としても同等以上の備えを整え、彼らの手法に対抗しなければなりません。
以下の対策は、被害の可能性を低減するうえで有効になります。
・多要素認証(MFA):
すべてのリモートアクセスおよび権限アクセスに対してMFAを強制することで、盗まれた認証情報の悪用を防ぎます。
・パッチ管理:
ソフトウェアの更新を定期的に実施し、CVE-2020-1472(Zerologon)やCVE-2023-3519(Citrix ADC)などの重大な脆弱性には優先的に対応します。特にダウンタイムが許容されないOT環境では、仮想パッチの導入が極めて重要です。仮想パッチは、操業環境の中断を招く可能性のあるシステムソフトウェアを更新せずに、脆弱なデバイスの周囲に防御バリアを張ります。これで、業務を中断させることなく、リアルタイムに攻撃を防ぐことができます。RansomHubのように既知の脆弱性を狙うグループに対しては、仮想パッチが修正までの貴重な時間を稼いでくれます。
・エンドポイント・ディテクション&レスポンス(EDR):
OT環境では、従来のIT向けEDRでは十分な機能が発揮できず、システムリソースに不必要な負荷をかけてしまう可能性があります。また、Windows XPのようなレガシーシステムが依然として使われているため、従来のツールでは通常のOTアクティビティを悪意のあるものと誤って解釈してしまい、損失の大きい業務の中断を引き起こす場合もあります。このため、多くの企業がEDRの導入を躊躇しています。そこで、パフォーマンスへの影響を最小限に抑えながら、振る舞い検知、カーネルレベルの監視、およびMimikatz、PowerShellの悪用、異常なバッチスクリプトの実行などのツールを特定する機能を備えたOT固有のEDRソリューションを使用します。
・ネットワークセグメンテーション:
ITとOTネットワークの分離に加え、重要なシステム間も分離させることで、攻撃者のラテラルムーブメントを防ぎます。
・許可リストベースのアクセス制御:
厳格なアプリケーション制御ポリシーと許可リストを定義することで、許可されていないツールの実行リスクを低減します。
・バックアップ対策:
定期的に暗号化してテストを行ったバックアップを、オフラインかつオフサイトに保管します。また、vssadmin.exeを用いた削除に備えて、シャドーコピー保護も強化しておきます。
・認証情報の管理:
強固なパスワードポリシーを実施し、再利用や初期設定のままの認証情報を監視します。定期的な認証情報のローテーションも推奨されます。
・インシデント対応の備え:
インシデント対応計画を策定・訓練し、更新します。隔離・フォレンジック分析・外部連携に関する手順を明確にしておきます。
・セキュリティ侵害インジケータ(IOC)の監視:
CISA、トレンドマイクロ、およびその他の脅威インテリジェンスソースからの既知のIOCに関する最新情報を入手します。そして、環境内での兆候を積極的に検索します。
・セキュリティの意識向上トレーニング:
フィッシングやスピアフィッシング、音声詐欺に関する知識を従業員に備えさせ、ソーシャルエンジニアリングにひっかからないようにします。
これらの防御策は、統合的な対策として導入されることで、RansomHubの攻撃成功率を大幅に下げる、あるいは被害が発生したとしても、その影響を最小限に抑えることができます。
まとめ
RansomHubの急速な台頭と攻撃的な手口は、単なるランサムウェアの一例にとどまらず、サイバー犯罪の生態系における危険な進化を象徴しています。
構造化された階層、寛大な利益分配、および評判の保証までを備えて非常に機能性の高いランサムウェア・アズ・ア・サービス(RaaS)プラットフォームを提供することにより、RansomHubは、ALPHVのような注目を集めた出口詐欺の後、サイバー犯罪のアンダーグラウンドにおける信頼を回復させました。
彼らはOTやSCADAシステムなどの重要インフラへの攻撃も辞さず、サイバーリスクを物理的現実へと転化し、医療、エネルギー供給、公共安全といった分野にまで脅威をおよぼしています。
さらに、アフィリエイトが復号ツールを提供し、交渉された合意を遵守することを保証する「顧客サポート」の姿勢を採用することで、新たなレベルの心理戦が加わります。被害者は恐怖だけでなく、信頼できる解決策の約束によっても支配されます。
より広い視点で見ると、RansomHubの成功は、Zerologonなどの脆弱性の放置、MFAの不徹底、パッチ未適用のシステム、悪用されやすい正規のリモート・アクセス・ツールの氾濫といった、システム的な弱点を突いているのです。
最終的に、RansomHubの台頭が示すのはただ一つです。これはもはや一部の問題ではありません。これは「成功するビジネスモデル」なのです。それこそが、防御担当者、ポリシー立案者、そして一般市民にとって、最も深刻に受け止めるべき警鐘なのです。
TXOneにまずお気軽にご相談ください。
製造業界のサイバーセキュリティ課題は常に変化しています。TXOneはお客様のサイバーセキュリティに関する課題について最適なOTセキュリティソリューションが提供できるよう、いつでもお手伝いさせていただきます。お問い合わせ内容を確認後、担当者より迅速にご連絡致しますので、お気軽にお問合わせください。
おすすめ記事
PLCのサイバーセキュリティ究極ガイド
OT脅威の環境において、PLC(プログラマブル・ロジック・コントローラ)は、産業設備への容易なエントリーポイントを求める攻撃者にとって、新たな攻撃対象の1つとなっています。そこで、本記事ではPLCに確実に高度なサイバーセキュリティ対策を講じる方法について解説します。
HMIセキュリティの強化:ICS環境をサイバー脅威から守る方法
本記事では、OT環境におけるHMIセキュリティの重要性としてHMI(ヒューマン・マシン・インターフェース)が持つ脆弱性を狙ったサイバー攻撃の手法と、脅威からHMIを保護するためのOTセキュリティソリューションについて解説します。
ランサムハッカー集団LockBit3.0の脅威分析とその防止策とは
ランサムハッカー集団LockBit3.0の仕組みや特徴、防止策について解説します。LockBit3.0は2022年7月に出現して以来、世界中で最も悪名高いランサムウェアの脅威の 1 つになりました。
参考文献
1.https://digital.txone.com/media/txone-networks-2024-annual-ics-ot-cybersecurity-report/the-changing-threat-landscape-of-ot-environments#block-7f17d0c2-04b5-4689-88ca-e5c8df6a82f3
2.https://thecyberexpress.com/RansomHub-group-strikes-ics/
3.https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-242a
4.https://www.trendmicro.com/en_us/what-is/zerologon.html
5.https://www.trendmicro.com/zh_tw/research/24/i/how-RansomHub-ransomware-uses-edrkillshifter-to-disable-edr-and-.html
6.https://www.darktrace.com/blog/RansomHub-ransomware-darktraces-investigation-of-the-newest-tool-in-shadowsyndicates-arsenal
7.https://www.group-ib.com/blog/RansomHub-never-sleeps-episode-1/
8.https://www.sentinelone.com/anthology/RansomHub/
9.https://cyble.com/blog/critical-advisory-on-RansomHub-ransomware-a-comprehensive-analysis-and-mitigation-guide/
