专家在 LINUX 版本的 RANSOMHUB 勒索软件中发现了一个错误

RansomHub 勒索软件操作依赖于新的 Linux 版本的加密目标 VMware ESXi 环境。

尽管 RansomHub 仅在 2024 年 2 月出现，但它已迅速发展，并在过去三个月中成为公开声称的攻击数量第四多产的勒索软件运营商。

赛门铁克专家分析了最近出现的勒索软件操作，推测它是 Knight 勒索软件的更名版本。

Knight，也被称为独眼巨人 2.0，于 2023 年 5 月出现在威胁领域。该恶意软件针对多个平台，包括 Windows、Linux、macOS、ESXi 和 Android。运营商在他们的 RaaS 操作中使用了双重勒索模型。

Knight 勒索软件即服务操作于 2024 年 2 月关闭，恶意软件的源代码可能被出售给重新启动 RansomHub 操作的威胁行为者。RansomHub 声称对针对多个组织的攻击负责，包括 Change Healthcare、Christie's 和 Frontier Communications。

Linux 和 Windows 版本的 RansomHub 勒索软件是用 Go 编写的，而新的 ESXi 版本是用 C+ 编写的。

RansomHub 的附属公司已在 18 个国家/地区入侵了 45 名受害者，主要针对 IT 行业。勒索软件利用云存储备份和错误配置的 Amazon S3 实例来勒索受害者。Insikt Group 的研究人员还报告了与 ALPHV 和 Knight Ransomware 的代码相似性，表明存在潜在的联系。

创建ESXi加密器允许运营商增加潜在目标的基础，该组可以针对越来越多的使用虚拟化环境的企业。

Insikt Group 的专家注意到，ESXi 版本的 RansomHub 创建了一个名为 /tmp/app.pid 的文件，以确保 RansomHub 进程的独占执行。专家们在恶意软件代码中发现了一个错误，将文件内容修改为 -1 将阻止 RansomHub 执行加密并导致其无限循环运行。

“在处理命令行参数和解密配置后，RansomHub ESXi 会利用文件 /tmp/app.pid 检查它是否已经在运行。如果 /tmp/app.pid 不存在，RansomHub 将创建它并在其中写入进程 ID。如果启动时存在 /tmp/app.pid，RansomHub 将打印到控制台“已经在运行...”，读取文件中的进程 ID，尝试终止该进程，然后在进程被终止时退出。“如果文件 /tmp/app.pid 是用”-1“创建的，那么勒索软件最终将陷入一个循环，试图杀死进程 ID ”-1“，它不应该存在，并且不会对文件进行加密或对系统造成其他损害。”

Insikt Group 开发了 YARA 和 Sigma 规则，用于检测 ESXi、Linux 和 Windows 环境中的 RansomHub 勒索软件文件。该公司还建议分析师检查端点日志，了解 RansomHub 常用的命令行调用，以停止虚拟机、删除卷影副本和停止 Internet Information Service （IIS）。一些特定命令包括：

• 停止 VM：powershell.exe -Command PowerShell -Command “Get-VM |Stop-VM -Force”

• 停止 IIS： cmd.exe /c iisreset.exe /stop

• 删除卷影副本：powershell.exe -Command PowerShell -Command “Get-CimInstance Win32_ShadowCopy |Remove-CimInstance”

原文始发于微信公众号（黑猫安全）：专家在 LINUX 版本的 RANSOMHUB 勒索软件中发现了一个错误