网络安全专家对最近出现的勒索软件操作RansomHub进行了分析,他们推测它是骑士(Knight)勒索软件的一个重新打包版本。骑士勒索软件,又称为Cyclops 2.0,于2023年5月出现在威胁景观中。该恶意软件针对多个平台,包括Windows、Linux、macOS、ESXi和Android。运营商为他们的勒索即服务(RaaS)操作采用了双重勒索模式。骑士勒索软件即服务操作于2024年2月关闭,而该恶意软件的源代码很可能被出售给了重新启动了RansomHub操作的威胁行为者。RansomHub声称对多个组织的攻击负责,包括Change Healthcare、Christie's和Frontier Communications。
Broadcom旗下的赛门铁克(Symantec)的研究人员发现了RansomHub和骑士勒索软件系列之间的多个相似之处,表明它们有共同的来源:
两者都是用Go语言编写,并使用Gobfuscate进行混淆。它们共享大量的代码重叠。这两种恶意软件使用的命令行帮助菜单是相同的,只有RansomHub上有一个“sleep”命令。它们都采用一种独特的混淆技术,将重要的字符串进行独特编码。骑士和RansomHub的勒索说明具有显著的相似之处,骑士说明中的许多短语在RansomHub的说明中也完全一致,表明开发人员很可能编辑和更新了原始说明。两种载荷在加密前都会重新启动端点进入安全模式。命令执行的顺序和方法是相同的,尽管RansomHub现在使用cmd.exe进行执行。然而,尽管这两种恶意软件具有相同的起源,但骑士的作者现在很可能不再操作RansomHub。
赛门铁克发布的报告指出:“两种勒索软件系列之间的一个主要区别是通过cmd.exe运行的命令。尽管具体命令可能有所不同,但它们可以在构建载荷时或在配置期间进行配置。尽管命令的不同,但与其他操作相关的命令执行顺序和方法仍然保持不变。”虽然RansomHub直到2024年2月才出现,但它迅速增长,在过去的三个月里,根据公开声明的攻击数量,它已成为勒索软件运营商中第四大最多产的运营商。
原文始发于微信公众号(黑猫安全):勒索集线器(RansomHub)操作是骑士勒索即服务(Knight RAAS)的一个重新打包版本
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论