点击蓝字 关注我们
科学与技术事件简介
2024年11月更新
据《GovTech》报道,经过长达九个月的恢复,Change Healthcare的计费系统终于在遭遇勒索软件攻击后重新上线运行。作为一家主要负责计费和支付处理的机构,Change Healthcare隶属于联合健康集团(UnitedHealthGroup)。今年2月,该公司因部分系统未启用多因素身份验证(MFA),成为历史上规模最大勒索软件攻击之一的受害者。
根据美国医院协会(American Hospital Association)的调查,这次攻击的影响十分严重:
-
美国94%的医院在经济上受到冲击; -
74%的医院报告称患者护理直接受到影响; -
近40%的患者因授权延迟而难以获得医疗服务; -
67%的医院表示更换计费处理机构“困难或非常困难”。
根据美国卫生与公共服务部(U.S. Department of Health and Human Services)民权办公室的泄露报告,此次攻击导致超过1亿人的个人健康数据被泄露。
2024年5月首次发布
随着Change Healthcare网络攻击和勒索事件的全貌逐渐清晰,一个名为“RansomHub”的新兴组织浮出水面。这一组织自2月的勒索和数据泄露事件后,不断扩展攻击目标,成为焦点。
4月8日,Forescout Research旗下的Vedere Labs在一起独立事件中获取了由RansomHub附属组织使用的样本。以下是我们对这些样本的分析内容:
-
该新兴组织的背景信息; -
辅助文件分析; -
加密器的功能; -
与ALPHV战术、技术和程序(TTPs)的相似性。
下图展示了本文所述事件的简化时间线。
Change Healthcare网络攻击与RansomHub脱离ALPHV的事件分析
ALPHV对Change Healthcare的网络攻击被认为是史上最具影响力的勒索事件之一。Change Healthcare是全球最大的医疗支付处理公司之一,同时也是联合健康集团(United Healthcare)的子公司。该公司每年处理约150亿笔医疗索赔,占全美医疗索赔总量的近40%,在医疗支付生态系统中扮演重要角色。
此次攻击对Change Healthcare及其客户造成了严重影响,同时也将人们的目光重新聚焦到勒索软件的威胁上。在ALPHV组织实施“退出骗局”(exit scam)后,新兴组织RansomHub开始招募ALPHV的前附属成员,迅速崛起。
攻击细节
2024年2月12日,ALPHV勒索软件的附属组织“Notchy”攻破了Change Healthcare。这家公司是一个连接美国医疗系统内超过160万名医护人员、70,000家药房和8,000家医疗设施的支付管理枢纽。
攻击者利用未启用多因素身份验证(MFA)的Citrix远程访问软件的被盗凭证,成功入侵系统。随后,他们进行了横向移动和数据外泄操作,并在9天后部署了勒索软件。
攻击的影响
-
经济损失:此次事件造成的直接财务影响高达8.72亿美元。 -
数据泄露:攻击导致6TB敏感数据被窃取。 -
恢复时间:系统修复耗时数月,公司至少为此参加了两次美国国会听证会。
了解更多
观看联合健康集团(United Healthcare)首席执行官在美国能源与商务委员会(US Committee on Energy and Commerce)上的发言,深入探讨此次攻击的影响:
更多细节
Change Healthcare在此次攻击中向ALPHV支付了2200万美元的赎金。然而,这笔款项似乎并未被分配给其附属组织“Notchy”。因此,“Notchy”以及其他多个原ALPHV附属组织纷纷转投一个新的勒索软件组织——RansomHub。这一新组织自成立以来发展迅速,成为新的网络威胁。
RansomHub在2024年4月15日开始泄露Change Healthcare的文件,并对该公司进行了第二次勒索,声称原本支付的赎金未分配给正确的人员,要求额外支付赎金。这一事件进一步揭示了勒索软件生态系统内部复杂的利益纠纷以及不断演变的攻击模式。
RansomHub勒索即服务(RaaS):从RAMP平台到Change Healthcare及更广泛的目标
RansomHub于2月2日由用户“koley”在知名网络犯罪论坛RAMP上宣布,作为一个全新的勒索即服务(RaaS)附属计划。该公告(如下图所示)详细介绍了以下内容:
-
加密器(locker):由RansomHub团队开发的加密恶意软件,租赁给附属组织使用; -
管理面板(panel):附属组织用于与受害者进行谈判的操作工具; -
申请条件(ticket):加入该计划需满足的资格要求; -
附属规则(rules):附属组织参与计划后需遵守的行为规范。
作为现代勒索软件,RansomHub采用Golang和C++编写,支持多种平台,包括Windows、Linux、ESXi以及基于MIPS架构的设备。其独特之处在于采用“先支付附属组织,后收取费用”的模式,这与传统的勒索软件计划(如ALPHV)截然不同。这种支付模式可能正是吸引其他计划中不满附属组织的重要原因,为RansomHub带来了迅速增长的动力。
该组织于2月10日宣布其首个受害者:巴西的一家金融咨询公司 YKP LTDA。在2月10日至4月8日期间,他们又声称对另外27个目标实施了攻击,其中包括首次将 Change Healthcare 列入名单。
截至4月30日,RansomHub在2月至4月间共造成45个受害者。其中,大部分受害者位于美国(13个),其次是巴西(6个),以及英国、意大利和西班牙各3个受害者。
该组织的活动逐步升级:2月声称有4个受害者,3月增至18个,4月达到23个。在4月,RansomHub成为第五活跃的勒索软件组织,但其攻击事件数量与当月最活跃的几大组织——LockBit、8base、Play和Hunters——相当。如果以当前增长速度继续扩张,RansomHub很可能很快会成为最活跃的勒索软件组织。
辅助文件分析:STONESTOP 与 POORTRY
我们通过描述以下相关文件来开始对所观察到的事件进行分析:
| 文件名 | 哈希值 | 描述 |
|---|---|---|
| disableAV.bat | 813f54d9053d91a46d9ec3381a2283f3ed8274a976e34fc795c5239fd4d01f4b | 一个批处理文件,用于复制并运行禁用杀毒软件保护的文件。 |
| disableAV.bat | cc16267ba6bb49149183b6de2980824b8b4d5d1456fed51b6c5fd9099a904b50 | 与前一个文件相似,但此文件使用“copy”命令代替“xcopy”命令。 |
| 2JSqT5dzNXW.exe | d9a24f5c62928dd9f5900b4a9d8ce9e09b73509bc75537c223532ebf8c22e76d | 一个可执行文件,用于加载恶意驱动程序(aSCGa.sys)并向其发送命令。 |
| aSCGa.sys | 9d3a9b9875175acfa8caabbb773e0723b83735a89969c581c0dfd846476378a5 | 一个恶意驱动程序,用于禁用杀毒软件保护。 |
| PSEXESVC.exe | cc14df781475ef0f3f2c441d03a622ea67cd86967526f8758ead6f45174db78e | 微软轻量级Telnet替代工具的三个变体之一,用于在远程系统上执行进程。该工具是微软Sysinternal Suite的一部分,通常被攻击者用于横向移动。 |
| psexec.exe | a9affdcdb398d437e2e1cd9bc1ccf2d101d79fc6d87e95e960e50847a141faa4 | 微软轻量级Telnet替代工具的三个变体之一,用于在远程系统上执行进程。该工具是微软Sysinternal Suite的一部分,通常被攻击者用于横向移动。 |
| PsExec.exe | 078163d5c16f64caa5a14784323fd51451b8c831c73396b967b4e35e6879937b | 微软轻量级Telnet替代工具的三个变体之一,用于在远程系统上执行进程。该工具是微软Sysinternal Suite的一部分,通常被攻击者用于横向移动。 |
| smbexec.exe | 5d2f77971ffe4bab08904e58c8d0c5ba2eefefa414599ebac72092e833f86537 | smbexec.py工具的变体(impacket python套件的一部分),编译为PE可执行文件。该工具经常被攻击者用于横向移动。 |
| amd64.exe | 7539bd88d9bb42d280673b573fc0f5783f32db559c564b95ae33d720d9034f5a | 一个可执行文件,用于加密受害者的文件系统。它还可以停止虚拟机并加密远程系统(可能使用外部工具,例如psexec和smbexec)。 |
这些文件的用途如下图所示,分别用于以下目标:
-
TA0005 – 防御规避(Defense Evasion):通过禁用安全软件和清除日志等手段绕过安全防护机制; -
TA0008 – 横向移动(Lateral Movement):利用远程执行工具在目标网络中扩展攻击范围; -
TA0040 – 影响(Impact):对目标系统实施加密或其他破坏性操作,直接影响其正常运行。
由于用于横向移动的文件已经非常知名,本节重点分析用于防御规避的文件,下一节将分析用于影响的加密器文件。
两个批处理文件(disableAV.bat)均用于从一个本地IP地址(可能是首台被攻破的机器)复制 2JSqT5dzNXW.exe 和 aSCGa.sys 文件,并运行前者。以下是其中一个批处理文件的内容(两者的唯一区别在于,一个使用了“copy”命令,另一个则使用了“xcopy”命令):
复制的文件非常有趣。由于早期版本已经在2022年被Sophos和Mandiant的研究人员分析过,我们将继续使用这些恶意文件的相同名称:STONESTOP(2JSqT5dzNXW.exe)和POORTRY(aSCGa.sys)。后者是一个恶意的Windows驱动程序,而前者是一个用户态的Windows可执行文件,用于加载驱动程序并发送各种命令。
STONESTOP 和 POORTRY 曾被网络犯罪组织 SCATTERED SPIDER(Mandiant跟踪为UNC3944)用来禁用杀毒软件(AV)和端点检测与响应(EDR)软件。据报道,SCATTERED SPIDER 在过去的许多案例中部署了 ALPHV 勒索软件。
我们获取的样本与Sophos和Mandiant描述的样本相比存在一些差异,但也有许多相似之处。
STONESTOP 似乎使用了UPX加壳。然而,对二进制文件的进一步分析表明它使用了一个定制的加壳程序。解压样本后,我们可以理解它如何控制 POORTRY:
-
它会将 POORTRY 样本(aSCGa.sys)的副本复制到当前用户的TEMP文件夹中,并将其作为服务加载。需要注意的是,这需要管理员权限(ADMIN权限),这表明此操作是在本地管理员账户被攻陷后进行的。样本本身不包含任何权限提升漏洞利用功能。 ![【文章转载】深入解析:从Change Healthcare网络攻击中崛起的新勒索软件组织]( "【文章转载】深入解析:从Change Healthcare网络攻击中崛起的新勒索软件组织")
-
接下来,可执行文件会向 POORTRY 发送特定的IOCTL 0x222088。这个IOCTL用于与 POORTRY 进行身份验证。在这种情况下,它需要一个硬编码的字符串 “ED AD FG HG GF TR SY UT GH NG GT”。如果 POORTRY 接收到此字符串以及相应的IOCTL指令,当从用户态可执行文件发送特定IOCTL时,它会执行其他功能。否则,IOCTL请求将被忽略。 ![【文章转载】深入解析:从Change Healthcare网络攻击中崛起的新勒索软件组织]( "【文章转载】深入解析:从Change Healthcare网络攻击中崛起的新勒索软件组织")
-
最后,我们的 STONESTOP 变体指示 POORTRY 递归删除Kaspersky杀毒软件安装目录中的所有文件。随后,它会进入一个无限循环,定期指示 POORTRY 查找与杀毒软件相关的进程并终止它们。在我们的样本中,这些目标进程包括Kaspersky和Windows Defender。 ![【文章转载】深入解析:从Change Healthcare网络攻击中崛起的新勒索软件组织]( "【文章转载】深入解析:从Change Healthcare网络攻击中崛起的新勒索软件组织")
正如分析所示,攻击者针对不同的杀毒软件(AV)和端点检测与响应(EDR)解决方案进行了定制化攻击。他们似乎为每个受害者创建了新的可执行文件,以适配目标系统中存在的安全软件。STONESTOP 和 POORTRY 使用了高度混淆技术,包括字符串混淆和控制流图混淆。例如,POORTRY 使用了微软的控制流保护(Microsoft Control Flow Guard),而 STONESTOP 则包含自我重写代码。
完成全面分析需要花费大量时间。然而,我们注意到,这似乎是Sophos描述的 POORTRY 变体的下一版本:
-
使用了简单的认证消息,而不是完整的握手过程。 -
使用了一个不同的“合法”证书对二进制文件进行签名。 -
包含之前描述的IOCTL值子集,但也新增了一些功能,其中一些可能未被完全发现。
| IOCTL | 功能说明 |
|---|---|
| 0x222088 | 认证 STONESTOP 与 POORTRY。 |
| 0x222184 | 从文件系统中删除文件。 |
| 0x222094 | 终止正在运行的进程。 |
| 0x22218c | 覆盖文件(在我们获取的 STONESTOP 样本中似乎未被使用)。 |
| 0x22208c | ???(在我们获取的 STONESTOP 样本中似乎未被使用)。 |
| 0x222188 | ???(在我们获取的 STONESTOP 样本中似乎未被使用)。 |
| 0x222190 | ???(在我们获取的 STONESTOP 样本中似乎未被使用)。 |
| 0x2221c4 | ???(在我们获取的 STONESTOP 样本中似乎未被使用)。 |
| 0x2221c8 | ???(在我们获取的 STONESTOP 样本中似乎未被使用)。 |
| 0x222264 | ???(在我们获取的 STONESTOP 样本中似乎未被使用)。 |
这个新的 POORTRY 变体伪装成来自 Tonec Inc. 的 Internet Download Manager TDI 驱动程序。
该驱动程序使用“上海易考达信息咨询有限公司”的有效证书签名,但该证书已于2016年过期。攻击者似乎使用了一个被盗的证书。我们在网上未能找到关于该公司的任何信息,因此该公司可能是伪造的。
加密器的分析及其与ALPHV的相似性
文件 amd64.exe(哈希值:7539bd88d9bb42d280673b573fc0f5783f32db559c564b95ae33d720d9034f5a)是一个文件系统加密器,具备多种功能,包括:
-
选择性加密 -
仅处理特定路径下的文件。 -
仅对本地磁盘进行加密。 -
选择性传播 -
仅处理特定的SMB主机。 -
安全模式运行 -
能够在安全模式下运行,避免某些防护软件的干扰。
该样本经过加壳处理(可能使用了VMProtect和自定义加壳技术),但并未虚拟化。样本是用Golang开发的,但所有符号信息都被从二进制文件中去除。此外,作者使用了 gobfuscate 工具(https://github.com/unixpickle/gobfuscate)进行代码混淆。
所有这些反分析措施使静态分析极为困难。为了防止动态分析,作者通过一个32字节的密码短语保护了加密器的配置。作者使用的加密算法似乎是 ChaCha20-Poly1305,但由于缺少必要的密码短语,我们无法解密配置或进一步分析样本。
尽管进行了混淆处理,二进制文件中仍存在一些有趣的字符串。例如,部分JSON配置内容如下:
JSON配置中包含了许多与我们过去分析的 ALPHV 勒索软件相似的内容。此外,我们还注意到赎金通知中的一些句子似乎直接复制自 CISA 提到的 ALPHV 样本。
然而,这也是最明显的相似之处的终点。我们之前分析的 ALPHV 加密器样本(以及一些额外样本)是用 Rust 编写的,而当前样本则是用 Golang 开发的。
此外,RansomHub 的样本中还引入了一些额外的混淆手段,这是在之前的 ALPHV 样本中未曾见过的。尽管当前加密器样本与之前研究中解析的 ALPHV 样本存在显著差异,但这一样本可能标志着 ALPHV 技术演进的下一步。
两者在配置参数方面有许多相似之处。例如,它们都需要强密码短语来解密嵌入的配置文件。此外,与我们之前见过的 ALPHV 样本一样,当前样本也具备终止受害者环境中虚拟机的功能。
RansomHub 是否是 ALPHV 的改头换面?
ALPHV“消失”与RansomHub“出现”的时间点非常接近,加上新的附属组织预付款模式,许多研究人员因此怀疑RansomHub可能是ALPHV的“改头换面”,而围绕“Notchy”与Change Healthcare的争议可能是一次精心策划的戏码。
这并非重大勒索软件组织在大规模攻击后首次“改头换面”。例如,ALPHV本身就是DarkSide(负责Colonial Pipeline攻击)和BlackMatter在2021年11月之后的重新包装。
在我们观察到的事件中,攻击者使用了改版的STONESTOP和POORTRY工具,这些工具此前被SCATTERED SPIDER用来部署ALPHV。然而,对RansomHub加密器的技术分析表明,它与最近使用的ALPHV加密器在技术细节上有显著差异。尽管它在操作模式、配置文件字符串和赎金通知等方面有许多相似之处,但这些相似性如今在多个勒索软件家族中都较为常见。
从这一起孤立事件中,很难得出RansomHub究竟是ALPHV的“改头换面”还是继承其附属组织的“精神继承者”的明确结论。不管攻击中使用的具体工具或发起攻击的附属组织如何,对于防御者来说一个好消息是,大多数勒索软件事件最终都可以归结为相同的战术、技术和程序(TTPs)。
应对措施指导
基础网络安全卫生措施仍然是应对这些勒索软件战术、技术和程序(TTPs)的有效方法。这些建议详见CISA的“Stop Ransomware”项目页面,特别是其勒索软件指南,其中包括:
-
识别并修补网络中的易受攻击设备:确保设备运行最新版本并修复已知漏洞。 -
网络分段:限制感染的传播范围。 -
监控网络流量:检测入侵迹象、横向移动或恶意载荷执行行为。
Forescout Threat Detection & Response 提供了专门针对勒索软件的检测规则。这些规则通过收集来自安全工具、应用程序和其他丰富数据来源的遥测数据和日志,关联攻击信号以生成高置信度的威胁报告供分析人员调查,同时支持在整个企业范围内实施自动化响应操作。
下图描述了“勒索软件攻击检测”规则的运行逻辑。此规则在发生特定事件时触发,包括检测到已知勒索软件伪装、通过PowerShell删除或修改影子副本,以及加密文件的行为。
妥协指标(IoC)
以下妥协指标可通过 Forescout Vedere Lab 的威胁订阅获取:
| 哈希值 | 文件类型 |
|---|---|
| 813f54d9053d91a46d9ec3381a2283f3ed8274a976e34fc795c5239fd4d01f4b | .bat 文件 |
| cc16267ba6bb49149183b6de2980824b8b4d5d1456fed51b6c5fd9099a904b50 | .bat 文件 |
| d9a24f5c62928dd9f5900b4a9d8ce9e09b73509bc75537c223532ebf8c22e76d | .exe 文件 |
| 9d3a9b9875175acfa8caabbb773e0723b83735a89969c581c0dfd846476378a5 | .sys 文件 |
| cc14df781475ef0f3f2c441d03a622ea67cd86967526f8758ead6f45174db78e | .exe 文件 |
| a9affdcdb398d437e2e1cd9bc1ccf2d101d79fc6d87e95e960e50847a141faa4 | .exe 文件 |
| 078163d5c16f64caa5a14784323fd51451b8c831c73396b967b4e35e6879937b | .exe 文件 |
| 5d2f77971ffe4bab08904e58c8d0c5ba2eefefa414599ebac72092e833f86537 | .exe 文件 |
| 7539bd88d9bb42d280673b573fc0f5783f32db559c564b95ae33d720d9034f5a | amd64.exe 文件 |
| 9667288503bc26ed9e957050f7e87929f1a7931e8b21797180b68de22a430411 | 用于签署 POORTRY 的证书 |
文章来源:
https://www.forescout.com/blog/analysis-a-new-ransomware-group-emerges-from-the-change-healthcare-cyber-attack/
以下是solar安全团队近期处理过的常见勒索病毒后缀:
勒索攻击作为成熟的攻击手段,很多勒索家族已经形成了一套完整的商业体系,并且分支了很多团伙组织,导致勒索病毒迭代了多个版本。而每个家族擅用的攻击手法皆有不同,TellYouThePass勒索软件家族常常利用系统漏洞进行攻击;Phobos勒索软件家族通过RDP暴力破解进行勒索;Mallox勒索软件家族利用数据库及暴力破解进行加密,攻击手法极多防不胜防。
| 时间 | 相关文章 |
|---|---|
| 2024/12/12 | 【攻击手法分析】勒索病毒如何轻松绕过安全设备防线:第二篇-流量致盲,无声突破 |
| 2024/12/11 | 【攻击手法分析】勒索病毒如何轻松绕过安全设备防线:第一篇-驱动漏洞一击致命 |
而最好的预防方法就是针对自身业务进行定期的基线加固、补丁更新及数据备份,在其基础上加强公司安全人员意识。
| 时间 | 相关文章 |
|---|---|
| 2024/6/27 | 【教程分享】勒索病毒来袭!教你如何做好数据防护 |
| 2024/6/24 | 【教程分享】服务器数据文件备份教程 |
如果您想了解有关勒索病毒的最新发展情况,或者需要获取相关帮助,请关注“solar专业应急响应团队”。
更多资讯 扫码加入群组交流
喜欢此内容的人还喜欢
索勒安全团队
索勒安全团队
索勒安全团队
原文始发于微信公众号(solar应急响应团队):【文章转载】深入解析:从Change Healthcare网络攻击中崛起的新勒索软件组织
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论