RansomHub 勒索软件 – 揭秘新感染链

admin
admin
admin
138359
文章
113
评论
2024年7月29日08:25:00评论126 views字数 1979阅读6分35秒阅读模式
RansomHub 勒索软件 – 揭秘新感染链

从 Lab52 开始,我们非常清楚,在对抗勒索软件的斗争中,我们不能只关注最终的产物,而必须关注部署的每个阶段。不幸的是,我们并不总是能够准确地识别整个感染链,正如Coveware的最新统计数据所强调的那样。

本文的目的是通过分享在两个 ransomHub 案例中观察到的感染链的相关部分,为早期检测做出贡献。Unit42 (Paloalto)最近的一篇文章中提到了此勒索软件的新变种。在我们的案例中,其中一个样本(如下所示的 sample2.exe)似乎介于此勒索软件的已发布版本和先前版本之间。

一般特征

下表提供了两个样本的哈希值。sample1.exe 是在几个月前进行分析的,而 sample2.exe 是在 2024 年 6 月在现场发现的。

SHA256

fb78afe826a14d4e0cc883fcdb6fe339e45a3fe728e575137b231aec6418a18f3dabecacc40e2904beba9372e95cf25cec8bb021c080f5d892fbf2eeb0e97006

命令行参数

这两个样本都可以通过命令行指定选项来执行。但是,sample1.exe 默认包含虚拟机关闭。这可以在其执行过程中看到,并且没有选项可以避免此行为。

RansomHub 勒索软件 – 揭秘新感染链

sample1.exe 的选项

Sample2.exe 包含此选项以及“快速加密模式”:

RansomHub 勒索软件 – 揭秘新感染链

sample2.exe 的选项

两个样本都需要密码才能执行。此外,两个样本都使用混淆方法进行保护,以避免被静态分析。

混淆方法

RansomHub 是用 Go 开发的,它使用了一个开源的混淆器Garble,可以从两个方面阻碍分析。

第一种是删除模块名称并用随机字符串替换一些模块名称。要恢复某些模块名称,可以使用GoReSym工具,使用说明可在其各自的 GitHub 页面上找到。

第二种方法是混淆可执行字符串。要解密它们,可以使用OALabs 报告中描述的脚本。需要注意的是,此脚本不会解密所有字符串,因为某些函数经过了优化,导致该模式停止工作。

感染链

这些样本的部署策略各不相同。在sample1.exe的案例中,攻击背后的攻击者使用了高级端口扫描器和ScreenConnect等工具来发现要感染的设备。

RansomHub 勒索软件 – 揭秘新感染链

感染链——sample1.exe

在部署sample2期间,网络犯罪分子使用了带有执行延迟的混淆PowerShell脚本。

RansomHub 勒索软件 – 揭秘新感染链

powershell 的初始部分

该脚本可以逐步去混淆,直到显露出依赖文件,该文件的名称在不同的部署中会发生变化。

RansomHub 勒索软件 – 揭秘新感染链

感染链中使用的有效载荷摘录

关于 RansomHub

RansomHub 是一个勒索软件即服务 (RaaS) 组织,于 2024 年出现,但据赛门铁克研究人员称,其代码与 Knight 勒索软件的代码有关联(2024 年 2 月在地下论坛上出售)。

这个 RaaS 组织登上了头条新闻,因为之前曾参与攻击 Change Healthcare 的 BlackCat 分支机构再次将该组织作为攻击目标,这次使用的是 RansomHub。因此,该组织被视为其他组织的替代品,而这些组织的知名度在最近几个月可能受到了负面影响。

根据 Lab52 处理的公开来源,6 月份,RansomHub 是全球影响最大的勒索软件组织之一。下图显示了按月大致的受害者人数。

RansomHub 勒索软件 – 揭秘新感染链

勒索软件受害者 – 全球

Lab52(S2 Grupo)团队在 2024 年第一季度的最新勒索软件报告中记录了 RansomHub 在拉丁美洲的影响。在本季度,该组织在该地区影响力最大的组织中排名第二。

RansomHub 勒索软件 – 揭秘新感染链

勒索软件受害者——拉丁美洲

在欧洲,该群体在 6 月份排名第四,并且是已知受害者人数最多的群体。

RansomHub 勒索软件 – 揭秘新感染链

勒索软件受害者——欧洲

因此,无论是在全球还是地区,很明显该组织的影响力在上个季度有所增加,并且可能继续上升。然而,这也在很大程度上取决于勒索软件背后的参与者所采用的部署策略以及勒索软件本身实现其目标的能力。

策略、技术和程序 (TTP)

  • T1190 利用面向公众的应用程序

  • T1133 外部远程服务

  • T1016 系统网络配置发现

  • T1082 系统信息发现

  • T1588.006 漏洞

  • 1057 进程发现

  • T1562.009 安全模式启动

  • T1562 削弱防御力

  • T1018 远程系统发现

  • T1105 入口工具转移

  • T1562.001 禁用或修改工具

  • T1219 远程访问软件

  • T1090 代理

  • T1560.001 通过实用程序存档

  • T1041 通过 C2 通道的渗透

  • T1587 开发能力

  • T1587.001 恶意软件

  • T1486 数据加密以防影响

  • T1657 金融盗窃

攻击指标 (IoC) - SHA256

fb78afe826a14d4e0cc883fcdb6fe339e45a3fe728e575137b231aec6418a18f3dabecacc40e2904beba9372e95cf25cec8bb021c080f5d892fbf2eeb0e97006

原文始发于微信公众号(Ots安全):RansomHub 勒索软件 – 揭秘新感染链

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月29日08:25:00
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   RansomHub 勒索软件 – 揭秘新感染链https://cn-sec.com/archives/3007385.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息