美国政府表示,自 2024 年 2 月成立以来,与 RansomHub 勒索软件组织有关的威胁行为者加密并泄露了至少 210 名受害者的数据。
受害者涉及各个领域,包括水和废水、信息技术、政府服务和设施、医疗保健和公共卫生、紧急服务、食品和农业、金融服务、商业设施、关键制造、运输和通信关键基础设施。
政府机构表示:“RansomHub 是一种勒索软件即服务变体——以前称为 Cyclops 和 Knight——它已经确立了自己作为一种高效和成功的服务模式(最近吸引了来自 LockBit 和 ALPHV 等其他著名变体的知名附属公司)。
作为 Cyclops 和 Knight 的后代勒索软件即服务 (RaaS) 变体,在最近的一波执法行动之后,电子犯罪行动吸引了来自 LockBit 和 ALPHV(又名 BlackCat)等其他知名变体的知名附属公司。
ZeroFox 在上月底发布的一份分析中表示,RansomHub 的活动占网络安全供应商观察到的所有勒索软件活动的比例呈上升趋势,约占 2024 年第一季度所有攻击的 2%,第二季度为 5.1%,第三季度迄今为 14.2%。
该公司指出:“大约 34% 的 RansomHub 攻击针对欧洲的组织,而整个威胁形势中只有 25%。
众所周知,该组织采用双重勒索模型来泄露数据和加密系统,以勒索受害者,并敦促受害者通过唯一的 .onion URL 联系运营商。拒绝默许赎金要求的目标公司会在数据泄露网站上发布他们的信息,为期 3 到 90 天。
通过利用 Apache ActiveMQ (CVE-2023-46604)、Atlassian Confluence 数据中心和服务器 (CVE-2023-22515)、Citrix ADC (CVE-2023-3519)、F5 BIG-IP (CVE-2023-46747)、Fortinet FortiOS (CVE-2023-27997) 和 Fortinet FortiClientEMS (CVE-2023-48788) 设备等中的已知安全漏洞,可以方便地对受害者环境进行初始访问。
这一步由附属公司使用 AngryIPScanner、Nmap 和其他离地谋生 (LotL) 方法进行侦察和网络扫描来接替。RansomHub 攻击还涉及使用自定义工具解除防病毒软件的武装,以便在雷达下飞行。
“在初始访问之后,RansomHub 附属公司创建了用于持久性的用户帐户,重新启用已禁用的帐户,并在 Windows 系统上使用 Mimikatz 收集凭据 [T1003] 并将权限升级到 SYSTEM,”美国政府公告中写道。
“然后,附属公司通过远程桌面协议 (RDP)、PsExec、AnyDesk、Connectwise、N-Able、Cobalt Strike、Metasploit 或其他广泛使用的命令和控制 (C2) 方法等方法在网络内横向移动。”
RansomHub 攻击的另一个值得注意的方面是使用间歇性加密来加快流程,通过 PuTTY、Amazon AWS S3 存储桶、HTTP POST 请求、WinSCP、Rclone、Cobalt Strike、Metasploit 和其他方法等工具观察到数据泄露。
这一发展是在 Palo Alto Networks Unit 42 解开与 ShinyHunters 勒索软件相关的策略之际发生的,它将其跟踪为 Bling Libra,突出了它转向勒索受害者,而不是他们出售或发布被盗数据的传统策略。威胁行为者于 2020 年首次曝光。
“该组织从公共存储库获取合法凭证,以获得对组织的 Amazon Web Services (AWS) 环境的初始访问权限,”安全研究人员 Margaret Zimmermann 和 Chandni Vaya 说。
“虽然与泄露凭证相关的权限限制了泄露的影响,但 Bling Libra 渗透到组织的 AWS 环境并进行了侦察行动。威胁行为者组织使用 Amazon Simple Storage Service (S3) 浏览器和 WinSCP 等工具收集有关 S3 存储桶配置的信息、访问 S3 对象和删除数据。
根据 SOCRadar 的说法,它还遵循勒索软件攻击的重大演变,勒索软件攻击已经超越了文件加密,采用了复杂、多方面的勒索策略,甚至采用了三重和四重勒索计划。
“三重勒索提高了赌注,威胁到加密和泄露之外的其他破坏手段,”该公司表示。
“这可能涉及对受害者的系统进行 DDoS 攻击,或向受害者的客户、供应商或其他合作伙伴发出直接威胁,以对勒索计划的最终目标造成进一步的运营和声誉损害。”
四重勒索通过联系与受害者有业务关系的第三方并勒索他们,或威胁受害者公开来自第三方的数据,以进一步向受害者施加压力以支付费用,从而提高赌注。
RaaS 模型的有利可图的性质推动了 Allarich、Cronus、CyberVolk、Datablack、DeathGrip、Hawk Eye 和 Insom 等新勒索软件变体的激增。它还导致伊朗民族国家行为者与 NoEscape、RansomHouse 和 BlackCat 等知名组织合作,以换取非法收益的分成。