美国当局发布了一份联合网络安全公告,涵盖一个多产的勒索软件组织 RansomHub。
据信,该组织通过双重勒索技术“加密和泄露”了至少 210 名受害者的数据。
该组织的受害者涵盖公共和私营部门的组织,包括医疗保健、IT、政府、紧急服务、食品和农业以及水和废水。该集团还瞄准了制造业、运输和通信领域的“关键”基础设施。
该咨询说明详细介绍了策略、技术和程序 (TTP)、入侵指标 (IOC),以及组织可以采取的自我保护步骤。
RansomHub 的策略、技术和程序
据美国国家网络防御机构 CISA 称,RansomHub “通过加密系统和泄露数据来勒索受害者”,使用双重勒索。但是,由于 RansomHub 采用联盟模式,因此数据泄露的确切方法将取决于闯入受害者网络的联盟。
这些机构表示,RansomHub 附属公司通常通过网络钓鱼、密码喷洒(针对因密码泄露而受损的帐户)和利用已知漏洞来“破坏面向互联网的系统和用户端点”。
一旦进入网络,该组织的附属公司将加密数据并删除勒索软件记录,但通常不包括赎金要求或付款详细信息。相反,受害者会获得一个客户端 ID 和指示,让他们通过 Tor 浏览器通过 .onion URL 联系该组织。研究人员表示,受害者通常有 3-90 天的时间付款,否则他们的数据将发布在 RansomHub Tor 数据泄露网站上。
为了加密数据,该小组使用椭圆曲线加密算法 Curve 25519 并使用间歇性加密。勒索软件以数据为目标,通常不会加密可执行文件。
在公告中,CISA 将 IP 地址(许多与 QakBot 相关联)和电子邮件地址列为潜在的 IOC。
如何应对 RansomHub 攻击
如果受害者认为他们已成为 RansomHub 附属公司的目标,这些机构建议将任何可能受影响的主机下线,重新映像它们并颁发新的帐户凭证。他们还应该监控他们的系统是否有可疑行为。
CISA 及其合作伙伴还建议组织维护多个分段数据备份,并遵循 NIST 密码策略指南。CISO 还应确保组织通过测试和练习来验证其安全控制措施。
阅读有关 CISA 勒索软件计划的更多信息:通过 CISA 勒索软件计划保护超过 850 台易受攻击的设备
#StopRansomware 联合网络安全咨询说明由 FBI、CISA、多州信息共享和分析中心 (MS-ISAC) 和卫生与公众服务部 (HHS) 发布。