勒索领域新的王者-RansomHub

点击上方蓝字关注我们

Group-IB 分享的最新研究成果显示，“勒索软件即服务”（ransomware-as-a-service）业务呈爆发式增长，其中 RansomHub 在这一领域表现得尤为活跃。RansomHub 于 2024 年初现身，借助 ALPHV 和 LockBit 等知名组织受干扰的时机，迅速在勒索软件领域站稳脚跟。

Group-IB 的调查发现，RansomHub 策略性地在诸如 RAMP 论坛之类的地下论坛上推广其合作伙伴计划，积极从解散的勒索软件组织中招揽成员，借此快速扩大其攻击范围和影响力。

进一步调查表明，RansomHub 很可能从 Knight 集团（又名 Cyclops）获取了勒索软件及网络应用程序的源代码，这体现了网络犯罪世界盘根错节的联系。借助现有资源，RansomHub 加速了开发与部署进程，很快便构成了严重威胁。其勒索软件具备跨平台特性，可针对 Windows、ESXi、Linux 和 FreeBSD 等多种操作系统和架构发起攻击，这种广泛的适用性让其潜在攻击目标数量大增。

RansomHub 的攻击手段极为复杂。他们运用先进技术，比如利用0day漏洞，借助 PCHunter 等工具绕过终端安全防护。一旦发现新漏洞，他们能迅速将其用于攻击，速度之快常让防御者来不及修复系统。此外，在必要时，他们还擅长运用传统攻击手段，像对 VPN 服务进行暴力破解。

在完成初步侦察并利用漏洞侵入系统后，RansomHub 会在受攻击网络中建立持久连接，接着展开内部侦察，识别并锁定网络附加存储（NAS）和备份系统等关键资产。他们利用 Filezilla 等工具，将敏感数据传输到外部的命令控制服务器，达成数据窃取目的。

RansomHub 攻击的最后阶段通常是数据加密和勒索。他们会停用备份服务，部署勒索软件让数据无法访问，使受害机构陷入瘫痪。该勒索软件功能强大，能够终止虚拟机、删除影子副本、清除系统事件日志。这些手段相互配合，旨在最大化攻击破坏程度，增加受害者支付赎金的可能性。

根据 Group-IB 的报告，RansomHub 针对不同平台定制了多种勒索软件变种，每个变种都有各自的命令行选项。其中，Windows 版本的功能尤为丰富，支持在安全模式下运行，还具备网络传播能力。

Group-IB 报告指出：“RansomHub 已将全球 600 多家机构列为攻击目标，涉及医疗、金融、政府以及关键基础设施等多个领域，无疑已成为 2024 年最活跃的勒索软件组织。”

Group-IB 还对一起持续时间不足 14 小时的 RansomHub 攻击事件展开了调查。攻击者先是利用 Palo Alto 防火墙的 CVE-2024-3400 漏洞，随后暴力破解 VPN 凭证获取访问权限。接着，借助 CVE-2021-42278（sAMAccount 欺骗）和 CVE-2020-1472（ZeroLogon）漏洞控制域控制器，在网络中横向移动，访问 NAS 服务器和共享文件夹，并用 Filezilla 窃取数据。最后，他们停用备份、部署勒索软件，完成关键数据加密后撤离。

Outpost24 的首席信息安全官（CISO）马丁・雅特利乌斯（Martin Jartelius）强调了修复已知漏洞的重要性，他解释道：“对于0day漏洞或供应链攻击，很难去指责受害者。但要是机构因一个已修复四年多的漏洞遭受攻击，那显然是内部人员不重视安全导致的。攻击链并非始于漏洞利用，而是始于最初的访问。机构应着重强化外部防御，加强员工培训，降低被攻击的风险。放任系统存在未修复漏洞或故意让系统易受攻击，是严重的安全失策。”

喜欢此文的话，可以点赞、转发、在看 一键三连哦！

原文始发于微信公众号（星尘安全）：勒索领域新的王者-RansomHub