RansomHub是一个新的网络犯罪组织,声称是从佳士得拍卖行和其他拍卖行窃取数据的幕后黑手,根据威胁猎人的说法,RansomHub很可能是骑士勒索软件团伙的某种更名.
RansomHub于2月份出现,一直非常活跃:它吹嘘自己窃取了克里斯蒂的客户数据,然后颇具讽刺意味地拍卖了克里斯蒂的客户数据,以及从美国宽带电信前沿通信公司窃取的内部信息-甚至在ALPHV的一家附属公司在过去三个月里成功用勒索软件勒索这家医疗集团后,改变医疗保健公司获得了2200万美元.
至少根据赛门铁克的数据,就声称受到攻击的数量而言,RansomHub一直是第四多产的勒索软件团队.
根据记录:LockBit在赛门铁克的排名中仍然高居榜首,声称有489起勒索软件感染事件,紧随其后的是Play(101起)、麒麟(92起)和RansomHub(61起).
赛门铁克调查了RansomHub最近的一些攻击,其英特尔团队报告称,犯罪分子经常通过滥用微软NetLogon远程协议中的ZeroLogon特权提升漏洞(CVE-2020-1472)来访问受害者.
一旦他们闯入IT环境,这些恶棍就会部署包括Atera和Splashtop在内的几个合法工具进行远程访问,并通过NetScan收集有关网络设备的信息.
不法分子部署勒索软件有效负载,渗透并加密受感染的Windows PC文件.
未能支付要求之后,被盗数据将被泄露或出售.
RansomHub甚至向受害者施压,暗示如果不支付赎金,他们的商业竞争对手可能会购买他们的内部文件.
博通拥有的安全商店分析了该团伙的恶意软件,发现RansomHub和Knight之间存在高度的代码重叠,而Knight本身被认为是原始Cyclops勒索软件的更新换代.
此外,两者都是用Go编写的,大多数变体都使用Gobfuscate来掩盖他们的踪迹.
赛门铁克团队认为,RansomHub和Knight的代码是如此相似,以至于“在许多情况下,只有通过检查数据泄露站点的嵌入链接才能确认确定.
”此外,两者在命令行上提供的帮助菜单几乎相同,唯一不同的是RansomHub中的睡眠命令.
“赎金笔记甚至有一些相同的短语,”赛门铁克认为,这表明开发人员只是编辑和更新了原始的[Knight]笔记.
在Knight关闭运营和泄漏站点后,运营商似乎出售了代码.
赛门铁克团队表示,骑士的老板们现在不太可能运行RansomHub,但很可能是有人购买了源代码并更新了源代码,然后才启动了自己的勒索软件即服务操作.
据报道,一名前ALPHV附属公司,名为Notchy,声称是2月份Change Healthcare入侵事件的幕后黑手,据报道正在与RansomHub合作.
事实上,赛门铁克表示,警方在2023年12月对ALPHV的干扰可能与RansomHub成功吸引附属公司有关.
这家威胁情报公司指出:“在最近的一次RansomHub攻击中,使用了以前与另一家[ALPHV]附属公司--散布蜘蛛--相关的工具.
”但这对该机构关闭主要网络犯罪行动的努力来说并不是一个好兆头,这可能越来越像一场打地鼠游戏,在警察轰炸早期版本后不久,新网站和勒索软件重启出现.
赛门铁克首席情报分析师迪克·奥布莱恩告诉The Register,“网络犯罪生态系统已经变得非常分散,许多个人和组织专门从事特定领域的工作,合作进行攻击.
”“这肯定会增加执法部门的挑战,因为如果你关闭一个勒索软件集团,他们的分支机构可能会转移到其他勒索软件集团.
”然而,这并不意味着这是一场失败的战斗,他补充道.
奥布莱恩说:“这并不是说执法行动没有价值.
”“他们可以把关键人物从黑社会中除名.
扰乱攻击速度,并在网络犯罪行为者之间制造怀疑和不和." .