一個名為RansomHub的新型勒索軟體服務(RaaS),已迅速成為當前最具威脅性的勒索軟體之一。根據Broadcom旗下Symantec的分析,RansomHub很可能是舊版Knight勒索軟體的更新和重塑版本。
Symantec對RansomHub的攻擊載荷進行分析後,發現與Knight勒索軟體有高度相似之處,這表明Knight是RansomHub的起點。儘管兩者有共同的起源,但Knight的開發者可能並未操作RansomHub。Knight的源代碼在2024年2月被其開發者決定關閉運營後,於地下論壇上出售,可能被其他攻擊者購買並更新後推出了RansomHub。
RansomHub 與 Knight 的比較
兩者的載荷均以Go語言編寫,大多數變體都使用Gobfuscate進行混淆,只有一些早期版本的Knight未經混淆。這兩個家族的代碼重疊程度顯著,難以區分。唯一的區別是RansomHub命令行幫助菜單中新增了一個睡眠命令。
這兩種威脅都採用了獨特的混淆技術,其中每個重要的字串都使用唯一的密鑰進行編碼並在運行時進行解碼。例如,在指令「cmd.exe /c iisreset.exe /stop」中,僅使用唯一金鑰對 iisrest.exe 字串進行加密。
兩個有效負載留下的勒索字條之間存在顯著相似之處,Knight 使用的許多短語逐字出現在 RansomHub 字條中,表明開發人員只是編輯和更新了原始字條。
這兩個勒索軟體系列之間的主要區別之一是透過 cmd.exe 運行的命令。這些命令可以在建置有效負載時或在配置期間進行配置。儘管命令本身不同,但它們相對於其他操作的呼叫方式和順序是相同的。
Knight 和 RansomHub 中存在的一個獨特功能是能夠在開始加密之前以安全模式重新啟動端點。 Snatch 勒索軟體曾在 2019 年使用過該技術,允許加密不受作業系統或其他安全進程的阻礙。 Snatch 也是用 Go 編寫的,並且具有許多類似的功能,這表明它可能是用於開發 Knight 和 RansomHub 的相同原始原始碼的另一個分支。然而,Snatch 存在顯著差異,包括明顯缺乏可設定指令或任何類型的混淆。
另一個在加密之前以安全模式重新啟動受影響電腦的勒索軟體系列是Noberus 。
RansomHub和Knight的贖金信也有顯著的相似之處,許多Knight贖金信中的短語在RansomHub中被原封不動地使用,表明開發者僅僅編輯和更新了原始信件。兩者的獨特功能是能夠在開始加密前重啟端點至安全模式,這一技術最早在2019年由Snatch勒索軟體使用,允許加密過程不受操作系統或其他安全進程的干擾。
RansomHub攻擊事件
在Symantec調查的最近幾起RansomHub攻擊事件中,攻擊者通過利用Zerologon漏洞(CVE-2020-1472)獲得了初始存取訪問權限,從而取得域管理員權限並控制整個域。攻擊者在部署勒索軟體之前使用了多種雙用途工具,如Atera和Splashtop進行遠程訪問,NetScan可能用於發現和檢索網絡設備信息。RansomHub的攻擊載荷利用iisreset.exe和iisrstas.exe命令行工具停止了所有的Internet信息服務(IIS)服務。
迅速增長
儘管RansomHub僅在2024年2月首次出現,但其迅速增長,在過去三個月中成為按公佈攻擊次數計算的第四大勒索軟體運營商。上週,該組織聲稱對英國拍賣行佳士得的攻擊負責。
RansomHub的成功可能得益於吸引了多名Noberus(又名ALPHV、Blackcat)勒索軟體組織的前附屬成員,這些成員在今年早些時候關閉後加入了RansomHub。據報導,一名名為Notchy的前Noberus附屬成員現正為RansomHub工作。此外,與另一名Noberus附屬成員Scattered Spider相關的工具也在最近的RansomHub攻擊中使用。
保護措施
欲獲取最新的保護更新,請訪問Symantec保護公告。
入侵指標 IoC
如果IOC是惡意的且我們擁有該文件,Symantec Endpoint 端點防護產品將檢測並阻止該文件。
原文出處 Symatnec Enterprise Blogs https://symantec-enterprise-blogs.security.com/threat-intelligence/ransomhub-knight-ransomware
Comments