根據(jù)網(wǎng)絡(luò)安全公司Group-IB披露的研究報(bào)告顯示，勒索軟件即服務(wù)(RaaS)生態(tài)圈正在經(jīng)歷格局重構(gòu)。一個(gè)代號(hào)為RansomHub的新型組織自2024年初異軍突起，趁勢(shì)填補(bǔ)了ALPHV和LockBit等老牌團(tuán)伙瓦解后的市場(chǎng)真空，目前已被證實(shí)攻擊了超600家機(jī)構(gòu)。

01.暗網(wǎng)招募與代碼復(fù)用

Group-IB追蹤發(fā)現(xiàn)，該勒索軟件組織于 2024 年 2 月首次出現(xiàn)，RansomHub通過在RAMP等地下論壇高調(diào)發(fā)布聯(lián)盟計(jì)劃，積極招募從解散的勒索軟件團(tuán)隊(duì)的分支機(jī)構(gòu)，技術(shù)溯源表明，其核心勒索軟件與Web應(yīng)用源代碼疑似繼承自Knight團(tuán)伙(又名獨(dú)眼巨人)，這種"黑產(chǎn)遺產(chǎn)"的復(fù)用模式大幅縮短了攻擊能力構(gòu)建周期。該勒索程序具備跨平臺(tái)攻擊能力，可針對(duì)Windows、ESXi、Linux、FreeBSD等多系統(tǒng)環(huán)境實(shí)施加密，顯著擴(kuò)大了潛在攻擊面。

02.高階攻擊技術(shù)圖譜

RansomHub展現(xiàn)出成熟的攻擊鏈構(gòu)建能力：

1.零日漏洞武器化：具備快速將新披露漏洞轉(zhuǎn)化為攻擊入口的能力，防御方補(bǔ)丁窗口期被急劇壓縮。

2.終端防護(hù)繞過：使用PCHunter等工具繞過EDR/AV防護(hù)進(jìn)程。

3.混合攻擊策略：在VPN服務(wù)爆破等傳統(tǒng)技戰(zhàn)術(shù)上保持高成功率。

4.橫向移動(dòng)模式：初始入侵后通過憑證轉(zhuǎn)儲(chǔ)(Credential Dumping)、權(quán)限提升(Privilege Escalation)建立持久化據(jù)點(diǎn)。

03.三重勒索殺傷鏈

典型攻擊包含三個(gè)階段：

●數(shù)據(jù)定位階段：通過內(nèi)網(wǎng)偵查精準(zhǔn)定位NAS存儲(chǔ)、備份系統(tǒng)等關(guān)鍵資產(chǎn)。

●數(shù)據(jù)滲出階段：使用Filezilla等工具向C2服務(wù)器傳輸敏感數(shù)據(jù)。

●加密破壞階段：終止虛擬機(jī)進(jìn)程、刪除卷影副本、清空系統(tǒng)日志，并禁用備份服務(wù)實(shí)施全盤加密。

04.按照平臺(tái)定制化攻擊戰(zhàn)術(shù)

Group-IB報(bào)告指出，RansomHub針對(duì)不同操作系統(tǒng)開發(fā)定制化勒索軟件變種，各版本均內(nèi)置專屬命令行參數(shù)。其中Windows變種具備"安全模式執(zhí)行"、"網(wǎng)絡(luò)傳播開關(guān)"等精細(xì)化控制功能，展現(xiàn)出對(duì)目標(biāo)環(huán)境的高度適配能力。

醫(yī)療金融成重災(zāi)區(qū)

"2024年全球已有超過600家機(jī)構(gòu)遭襲，涵蓋醫(yī)療、金融、政務(wù)、關(guān)鍵基礎(chǔ)設(shè)施等敏感領(lǐng)域，RansomHub已坐實(shí)年度最活躍勒索組織稱號(hào)。"——Group-IB

05.14小時(shí)閃電戰(zhàn)復(fù)盤

某典型案例中，攻擊者在14小時(shí)內(nèi)完成全攻擊鏈：

●初始突破(TA0001)：首先嘗試?yán)肞alo Alto防火墻漏洞(CVE-2024-3400 CVSS 9.8)，但沒有成功;

●權(quán)限維持(TA0003)：通過VPN憑據(jù)爆破獲取內(nèi)網(wǎng)準(zhǔn)入權(quán)限，這次暴力破解嘗試基于包含 5,000 多個(gè)用戶名和密碼的豐富詞典。攻擊者最終通過數(shù)據(jù)備份解決方案中常用的默認(rèn)帳戶獲得訪問權(quán)限，最終突破了邊界。

●域控接管(TA0004)：組合利用sAMAccount偽裝漏洞(CVE-2021-42278)與zerologon提權(quán)漏洞(CVE-2020-1472)掌控域控制器。

●橫向滲透(TA0008)：遍歷NAS服務(wù)器與共享文件夾實(shí)施數(shù)據(jù)定位。

●數(shù)據(jù)滲出(TA0010)：通過Filezilla建立C2通道傳輸2.5TB敏感數(shù)據(jù)。

●加密勒索(TA0040)：禁用Veeam備份服務(wù)后部署跨平臺(tái)勒索程序。

06.四年未修補(bǔ)漏洞成致命傷

這凸顯了修補(bǔ)已知漏洞的重要性，正如Outpost24的首席安全官M(fèi)artin Jartelius強(qiáng)調(diào)："面對(duì)零日漏洞或供應(yīng)鏈攻擊尚可歸咎于防御難度，但當(dāng)企業(yè)因四年前已發(fā)布補(bǔ)丁的漏洞淪陷時(shí)，這明顯是風(fēng)險(xiǎn)管理層面的重大失職。攻擊鏈的起點(diǎn)從來不是某個(gè)漏洞利用，而是暴露在外的攻擊面。必須通過強(qiáng)化邊界防護(hù)與人員培訓(xùn)壓縮入侵概率，放任系統(tǒng)帶病運(yùn)行無異于自毀長(zhǎng)城。"

* 本文為閆志坤編譯，原文地址：https://hackread.com/ransomhub-king-of-ransomware-600-firms-2024/

來源：數(shù)世咨詢