暗网简介：RansomHub

    勒索软件领域出现了一种新的威胁行为者，他们通过提出声明并通过数据泄露来支持它们，从而脱颖而出。

    2024 年 2 月，RansomHub 发布了第一个受害者，巴西公司 YKP。此后，他们又提出了 17 项 索赔，尽管他们的泄密网站目前仅列出了 14 名受害者。

RansomHub 泄露网站主页上的徽标

RansomHub 是谁

    正如该组织的“关于”页面所述，RansomHub 由来自全球各地的黑客组成，他们出于共同的经济利益目标而团结在一起。该团伙明确提到禁止对特定国家和非营利组织进行攻击。

RansomHub 的“关于”页面

    该团伙的网站称，他们不会针对独联体、古巴、朝鲜和中国。虽然他们建议建立一个全球黑客社区，但他们的操作与传统的 俄罗斯勒索软件 设置非常相似。他们对俄罗斯附属国家的立场以及目标公司与其他俄罗斯勒索软件组织的重叠也值得注意。

RansomHub 的“关于”第 2 页

    关于页面上的“权利保护”部分为附属机构勾画了指导方针，并强调了“责任心”的重要性。本节还披露了 RansomHub 与附属机构合作作为勒索软件组织，因此我们可以将其归类为 勒索软件即服务 (RaaS) 组织。

    RansomHub 声称，附属公司必须遵守谈判期间制定的协议和要求，并警告说，如果不这样做，将导致禁止和终止合作。

    此外，他们承诺，如果附属机构在收到付款后未能提供免费解密程序，或者如果目标是禁止访问的组织，则他们将向受害者提供免费解密程序。因此，该组织选择的勒索软件显然能够 在泄露之前对数据进行加密 。

    该组织试图从主要是俄罗斯人口的RAMP 论坛招募其附属机构 ，并且还声明其版本是  用 Golang重写的ESXi。

自 5 月 3 日以来，RAMP 论坛上的活动有限，表明他们暂时可能已经获得了足够数量的附属机构。

    附属机构收到 90% 的资金，其余 10% 归主要集团所有。与通常的做法相反，这笔钱最初会发送给附属机构，这一功能在勒索软件社区中受到高度重视。这种方法解决了ALPHV 价值 2200 万美元的 骗局造成的不信任问题 ，该骗局中附属公司没有得到补偿，从而导致勒索软件即服务 (RaaS) 环境中出现严重的不信任。

攻击目标

    正如 《网络日报》 所暗示的那样，在他们的数据泄露网站上，似乎附属公司自己处理这些帖子。受害者的列出方式各不相同，包括每次黑客攻击的证据呈现和使用的语言的差异。一些帖子链接到托管服务以共享黑客证明文档，而另一些帖子则直接在泄露的帖子中包含屏幕截图。

RansomHub 的受害者列表

    威胁行为者不遵循特定模式列出来自不同国家的受害者，目标是美国、巴西、印度尼西亚和越南等不同国家。虽然迄今为止尚未出现明显的大公司，但被视为关键部门的医疗保健相关机构却在受害者之列。

最新记录的受害者是制造公司 Kovra

RansomHub 组织还托管无法收到付款的受害者的样本数据，可以在其网站上下载。

即将到来的是什么？

    RansomHub 组织似乎是最近出现的勒索软件组织，可能起源于俄罗斯。由于它为附属公司提供的好处及其执行的严格控制，它们可能会在安全部队向 LockBit 和 ALPHV等主要参与者施加压力的情况下争夺领导地位。然而，他们的勒索软件菌株目前似乎只是旧样本的修订版本。

有趣的是，这个版本也是用 Golang 语言编写的； 最近引起关注的GhostSec 和 GhostLocker 勒索软件也用Golang语言编写了新版本。同样，这可能是揭示未来趋势的一步。

针对勒索软件的缓解建议

  虽然通过特定的 TTP 和 IoC 建立针对威胁行为者的防御方法是有效的，但重点应放在通用勒索软件防御策略上，而不是如此强烈地关注数十甚至数百个彼此相似的组。

定期数据备份： 实施强大的备份策略，定期备份关键数据，并确保其在遭受勒索软件攻击时可用于恢复。

安全意识培训： 对员工进行有关勒索软件威胁、 网络钓鱼 策略和网络安全最佳实践的教育，以降低成为恶意攻击受害者的风险。

补丁和更新管理： 使用最新的安全补丁和更新使操作系统、软件和应用程序保持最新状态，以解决可能被勒索软件利用的已知漏洞。

网络分段： 实施网络分段，将关键系统和敏感数据与网络中不太安全的部分分开，从而减少勒索软件感染的潜在影响。

访问控制： 根据最小权限原则限制用户权限和访问权限，最大限度减少攻击面，限制勒索软件在网络内的传播。

电子邮件和网络安全： 部署高级电子邮件过滤和网络安全解决方案，以检测和阻止可能传递勒索软件负载的恶意附件、链接和网络钓鱼尝试。

端点保护： 使用防病毒软件、入侵检测系统 (IDS) 和端点检测和响应 (EDR) 工具等端点安全解决方案来检测和减轻端点上的勒索软件威胁。

事件响应计划： 制定并定期测试专门针对勒索软件攻击的事件响应计划。该计划应包括识别、遏制、缓解勒索软件事件并从中恢复的程序。

定期安全审核： 定期进行安全审核、漏洞评估和渗透测试，以识别和修复可能被勒索软件攻击者利用的安全漏洞和弱点。

备份测试和验证： 定期测试和验证备份数据，以确保其完整性和用于恢复目的的可用性，并安全存储备份副本以防止未经授权的访问。

通过实施这些缓解策略，组织可以增强抵御勒索软件攻击的能力，并最大限度地减少对其运营和数据的潜在影响。

原文始发于微信公众号（OSINT研习社）：暗网简介：RansomHub