2024年，随着ALPHV和LockBit两大勒索软件组织相继遭遇打击，一个名为RansomHub的新兴威胁迅速崛起。Group-IB的最新研究显示，RansomHub已成为勒索软件即服务（RaaS）领域中的活跃分子，并在短时间内崭露头角。

RansomHub勒索软件组织的勒索信（图片来源：Group-IB）

RansomHub的崛起与运营策略

RansomHub于2024年初崭露头角，迅速成为勒索软件领域的重要参与者。Group-IB的调查发现，RansomHub通过地下论坛（如RAMP论坛）战略性地宣传其合作计划，积极招募来自解散的勒索软件组织的成员，从而快速扩大其影响范围。

此外，Group-IB的研究表明，RansomHub很可能从Knight组织（又称Cyclops）手中获取了勒索软件和Web应用的源代码，这凸显了网络犯罪世界的互联性。通过利用现有资源，RansomHub加速了其勒索软件的发展和部署，迅速成为重大威胁。

RansomHub的勒索软件设计具有跨平台兼容性，可针对包括Windows、ESXi、Linux和FreeBSD在内的多种操作系统和架构。这种多功能性使其能够最大化潜在目标。

高度复杂的攻击手法

RansomHub的运营显示出高度的复杂性。他们利用高级技术，例如利用零日漏洞和使用PCHunter等工具绕过端点安全解决方案。其适应性体现在他们迅速将新发现的漏洞武器化的能力，通常比防御者打补丁的速度更快。此外，他们在必要时也精通传统攻击方法，例如对VPN服务进行暴力破解。

在最初的侦察和漏洞利用之后，RansomHub会在被攻陷的网络中建立持久性，并进行内部侦察，识别并瞄准关键资产，如网络附加存储（NAS）和备份系统。数据外泄是其主要目标，他们会使用Filezilla等工具将敏感信息传输到外部命令和控制服务器。

攻击的最终阶段：加密与勒索

RansomHub攻击的最终阶段通常涉及数据加密和勒索。他们会禁用备份服务，并部署勒索软件以使数据无法访问，从而有效瘫痪受害组织。该勒索软件具备高级功能，包括能够终止虚拟机、删除影子副本和清除系统事件日志。这种全面的方法旨在最大化攻击的影响，并提高勒索成功的可能性。

Group-IB的报告指出，勒索软件的不同变种针对特定平台进行了优化，每种变种都有自己的一套命令行选项。Windows变种尤其提供了对执行的广泛控制，包括安全模式执行和网络传播功能。

“RansomHub已在全球范围内瞄准了600多家组织，涵盖医疗保健、金融、政府和关键基础设施等多个行业，使其成为2024年最活跃的勒索软件组织。”
——Group-IB

典型攻击案例分析

Group-IB对一场持续不到14小时的RansomHub攻击进行了详细调查。攻击者最初利用了Palo Alto防火墙中的漏洞（CVE-2024-3400），然后通过暴力破解VPN凭据获得访问权限。接着，他们利用漏洞CVE-2021-42278（sAMAccount欺骗）和CVE-2020-1472（ZeroLogon）攻陷了域控制器，横向移动访问NAS服务器和共享文件夹，并使用Filezilla外泄数据。

此次攻击最终以禁用备份、部署勒索软件并加密关键数据告终。攻击者随后离开，留下了活动的痕迹，Group-IB的数字取证和事件响应（DFIR）团队对此进行了进一步调查。

Outpost24的首席信息安全官Martin Jartelius强调了修补已知漏洞的重要性：“在零日漏洞或供应链攻击的情况下，很难指责受害者。但如果一个组织因为一个已经修复超过四年的漏洞而遭受攻击，那么很明显，团队中的某个人明知故犯地承担了重大风险。”

参考来源：

RansomHub: The New King of Ransomware? Targeted 600 Firms in 2024

4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途，否则一切后果请用户自负。

本站信息来自网络，版权争议与本站无关。您必须在下载后的24个小时之内，从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序，请支持正版，购买注册，得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解！

程序来源网络，不确保不包含木马病毒等危险内容，请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱：4ablog168#gmail.com（#换成@）