RansomHub:勒索软件新霸主?2024年已攻击600家企业

RansomHub在2024年迅速崛起,成为主要的勒索软件威胁,在ALPHV和LockBit遭受打击后,该组织已对600家企业发动攻击。Group-IB的研究揭示了其在网络犯罪中的迅猛增长。

Group-IB的最新研究(独家分享给Hackread.com)揭示,勒索软件即服务(RaaS)模式正在迅速扩张,而RansomHub已成为其中最活跃的组织之一。该组织于2024年初现身,并迅速崛起,利用ALPHV和LockBit等知名勒索软件团伙的瓦解填补市场空白,迅速扩大势力范围。

Group-IB的调查发现,RansomHub在地下论坛(如RAMP论坛)上积极推广其“合作伙伴计划”,吸纳了大量从解散的勒索软件组织流出的成员,使其影响力迅速扩展。

进一步分析表明,RansomHub很可能从Knight集团(又名Cyclops)获得了其勒索软件和Web应用程序源代码,展现了网络犯罪组织间的紧密关联。通过利用现有资源,RansomHub加快了开发和部署进程,迅速成为一股不可忽视的网络安全威胁。其勒索软件具备跨平台兼容性,能够针对Windows、ESXi、Linux和FreeBSD等多个操作系统和架构,极大地拓展了其攻击目标范围。

高度复杂的攻击手法

RansomHub的攻击方式极具复杂性。他们采用先进的技术,包括利用零日漏洞,以及使用PCHunter等工具绕过终端安全解决方案。其攻击适应能力极强,往往能比防御方更快地武器化新发现的漏洞。此外,该组织在传统攻击手段(如暴力破解VPN服务)方面也表现出较高的专业性。

在成功获取初步访问权限后,RansomHub会在受害网络内部开展侦察,识别并锁定关键资产,如网络附加存储(NAS)备份系统。其核心目标之一是数据窃取,通常会使用Filezilla等工具将敏感信息传输到外部的命令与控制(C2)服务器。

最终阶段:数据加密与勒索

RansomHub攻击的最终阶段通常涉及数据加密和勒索。他们会禁用备份系统,随后部署勒索软件,使数据变得无法访问,从而瘫痪受害组织。该勒索软件具备诸多高级功能,包括:

  • 终止虚拟机
  • 删除影像副本
  • 清除系统事件日志

这一系统性破坏手法旨在最大化攻击影响,提高受害者支付赎金的可能性。

RansomHub勒索软件团伙的勒索信(图片来源:Group-IB)

根据Group-IB的报告,该勒索软件针对不同平台定制了多种变体,每种变体都配备了不同的命令行选项。其中,Windows版本提供了更广泛的控制能力,如在安全模式下执行和跨网络传播的能力。

“RansomHub已在全球范围内攻击了600多家组织,涵盖医疗、金融、政府和关键基础设施等多个行业,已成为2024年最活跃的勒索软件组织。”

——Group-IB

案例分析:14小时内攻破企业网络

Group-IB深入调查了RansomHub的一次完整攻击,该攻击仅持续不到14小时,但破坏力极大。

攻击流程如下:

  1. 初始入侵:利用Palo Alto防火墙漏洞CVE-2024-3400)进入受害企业网络。
  2. 扩展访问权限:通过暴力破解VPN凭据,进一步深入系统。
  3. 域控制器(DC)攻破
    • 利用CVE-2021-42278漏洞(sAMAccount Spoofing)伪造账户权限。
    • 利用CVE-2020-1472漏洞(ZeroLogon)获取域控制权。
  4. 横向移动:攻击者在受害网络内自由移动,访问NAS服务器和共享文件夹
  5. 数据窃取:使用Filezilla将敏感数据传输至外部C2服务器。
  6. 数据加密
    • 禁用备份服务
    • 部署勒索软件
    • 加密关键数据

最终,攻击者撤离,但留下了明确的攻击痕迹,这为Group-IB的取证调查提供了线索。该攻击流程从初始入侵到最终数据加密的整个“攻击链”,被Group-IB整理成以下示意图:

如何防范RansomHub勒索攻击?

本次案例再次强调了修补已知漏洞的重要性。Outpost24首席信息安全官(CISO)Martin Jartelius指出:

“如果企业因零日漏洞或供应链攻击而受害,我们很难责怪他们。但如果一家企业因 四年前已修复 的漏洞遭受攻击,那显然是 内部安全管理的严重失误。”

Martin进一步补充:

“攻击链的起点并不是某个具体漏洞,而是初始访问。企业必须加强外部攻击面的防护**,并培训员工,提高安全意识,以减少被入侵的可能性。故意不修补漏洞或让系统暴露在风险中,是极其严重的安全隐患。”**

防范措施:

  1. 定期更新软件和补丁,避免被旧漏洞利用。
  2. 限制远程访问,使用**多因素认证(MFA)**保护VPN和关键系统。
  3. 监控异常活动,及时发现可疑的横向移动和数据传输。
  4. 采用零信任架构(ZTA),确保任何访问都经过严格验证。
  5. 实施定期安全演练,提高员工的网络安全意识。

RansomHub的迅速崛起表明,勒索软件团伙仍在不断进化,其攻击手法愈发复杂、隐蔽。面对这一新威胁,企业应采取 主动防御措施,强化网络安全体系,以抵御不断变化的攻击手段。