網路犯罪新勢力:
深入 RansomHub 勒索軟體組織
Group-IB 部落格文章分析了 RansomHub 勒索軟體組織,該組織於 2024 年初出現,是一個重大的網路威脅。它研究了 RansomHub 的起源、策略、技術和程序 - Tactics, Techniques, and Procedures (TTP),強調了其對漏洞的快速適應和利用。該貼文分析了現實世界中的一起事件,概述了攻擊者如何利用 CVE-2024-3400 漏洞和暴力攻擊來破壞網路。提供了 Windows、Linux、ESXi 和 SFTP 平台上的 RansomHub 勒索軟體變種的技術分析,包括命令列選項和內部工作原理。這篇文章最後討論了網路犯罪生態系統,並分享了檢測 RansomHub 勒索軟體的 Yara rule。它進一步映射到 Mitre Attack framework 並提供了刪除勒索軟體的步驟。
新興和策略招聘
RansomHub 的出現恰逢 ALPHV 業務的關閉,該組織策略性地啟動了一項合作夥伴計劃,以招募 LockBit 和 ALPHV 的附屬機構。這項努力已在 RAMP 論壇上進行了宣傳。為了加快行動,RansomHub 可能從 Knight(又稱 Cyclops)組織獲取了勒索軟體和 Web 應用程式原始碼。
多平台營運
該組織的勒索軟體可在各種系統上運行,包括 Windows、ESXi、Linux 和 FreeBSD,支援 x86、x64 和 ARM 等架構。 RansomHub 使用 PCHunter 等工具來繞過端點安全,並使用 Filezilla 洩漏資料。他們也利用 Palo Alto Networks 防火牆中的 CVE-2024-3400 等漏洞來取得網路存取權限。
戰術和技巧
RansomHub 的策略包括:
- 利用網域控制站中的漏洞,例如 CVE-2021-42278(sAMAccount Spoofing)和
CVE-2020-1472(ZeroLogon)。 - 在部署勒索軟體之前停用備份服務並終止 EDR。
- 使用勒索軟體殺手工具濫用有漏洞的驅動程式來殺死安全程序。
- 加密資料並留下贖金資訊。
- 採用快速加密模式,可設定為跳過大量資料以便更快處理。
勒索軟體變種與反分析
RansomHub 有適用於 Windows、Linux、FreeBSD、VMware 和 SFTP 伺服器的版本,每個版本都有特定的命令列選項。為了逃避偵測,如果機器在白名單中,勒索軟體就會終止,並且可以自我刪除以消除痕跡。
總結
該文章分析了RansomHub勒索軟體組織的演進、策略和技術面。 Group-IB 對 RansomHub營運、工具和技術 (TTP) 的分析凸顯了勒索軟體情勢的動態性質。主要結論包括:RansomHub 的起源與運營,以及其與其他團體重疊的特徵,凸顯了生動的網路犯罪生態系統的存在。這個生態系統依靠工具和原始碼的共享、重複使用和重新品牌化而蓬勃發展,從而形成了一個強大的地下市場。RansomHub 很快就成為研究人員、回應者(responder)、附屬機構和受害者的焦點。該組織已展現出快速適應和發展其 TTP、工具和能力的能力。生成式AI平台的影響可能會為未來的安全研究人員帶來重大挑戰。總體而言,強調需要持續研究、知識共享和適應,以應對 RansomHub 等不斷演變的網路威脅。