4008708893
2024 年,RansomHub在 ALPHV和 LockBit两大勒索软件组织活动中断后,成为了主要的勒索软件威胁,目标指向 600 多家机构。国际网络安全公司 Group-IB 揭示了其在网络犯罪领域的迅速崛起。
Group-IB 最新的研究成果独家分享给了Hackread.com,该研究强调了勒索软件即服务(RaaS)运营的突然兴起,其中有一个组织在这一领域非常活跃,它就是 RansomHub。RansomHub于 2024 年初出现,利用 ALPHV和 LockBit等其他知名勒索软件组织活动中断的机会,迅速发展成为了该领域的主要参与者。
Group-IB 的调查显示,RansomHub”在诸如 RAMP 论坛等地下论坛上,策略性地宣传其合作项目,积极招募那些来自已解散的勒索软件组织的成员,这有助于他们迅速扩大影响力和攻击范围。
进一步的调查表明,RansomHub 很可能从 Knight 组织(又名 Cyclops)那里获取了其勒索软件和Web应用程序的源代码,这表明了网络犯罪世界中各组织之间相互关联的本质。通过利用现有的资源,RansomHub加快了其开发和部署的速度,迅速成为了一个重大威胁。他们的勒索软件是为跨平台兼容性而设计的,目标涵盖了各种操作系统和架构,包括 Windows、ESXi、Linux 和 FreeBSD。这种多功能性使他们能够最大限度地扩大潜在的攻击目标范围。
RansomHub 的运营手段极为复杂精细。他们运用先进的技术,比如利用零日漏洞,并使用像 PCHunter 这样的工具来绕过终端安全解决方案。他们能够迅速将新发现的漏洞武器化,这一适应能力常常让防御者来不及给系统打补丁。他们还熟练运用传统的攻击方法,比如在必要时对虚拟专用网络(VPN)服务进行暴力破解攻击。在完成初步的侦察并利用漏洞进入目标网络后,他们会在被入侵的网络中建立持久的控制权限,然后进行内部侦察,识别并锁定像网络附加存储(NAS)和备份系统等关键资产。数据窃取是他们的一个关键目标,他们会使用像 Filezilla 这样的工具,将敏感信息传输到外部的命令与控制服务器上。
RansomHub 攻击的最后阶段通常包括数据加密和敲诈勒索。他们会禁用备份服务,并部署勒索软件使数据无法访问,从而有效地使受害组织陷入瘫痪。其勒索软件本身具备先进的功能,包括能够终止虚拟机、删除卷影副本以及清除系统事件日志。这种全面的攻击方式旨在最大限度地扩大攻击的影响,并增加受害者支付赎金的可能性。
Group-IB 称:RansomHub已经攻击了全球 600 多家机构,涉及医疗保健、金融、政府和关键基础设施等多个领域,这使其稳稳地成为了 2024 年最活跃的勒索软件组织。
(来自:安全客)
