RansomHub勒索软件集团：深入分析

暗网活动9目录恶意软件、工具集与战术、技术和程序 7毒理学 第4版引言 3联系我们 12结论10 RansomHub报告2 图1：RansomHub数据泄露网站首页简介勒索软件集团RansomHub已成为勒索软件领域的重要参与者，它通过泄露数据来支撑其大胆的声明。该集团在联邦调查局（FBI）于2023年12月19日破坏ALPHV的勒索软件运营后出现。有假设认为RansomHub是ALPHV集团的“精神继承者”，并得到前ALPHV附属组织的帮助。RansomHub明显利用了执法部门在2024年2月对LockBit团伙造成的破坏。国际上对LockBit的打击导致其部分网站和加密解密工具被查获，同时向其附属组织发出明确信息，告知他们也在受到监视。结果，许多依赖LockBit加密工具的附属组织现在已转而支持竞争的RaaS团体。2024年2月10日，RansomHub宣布其首个受害者，即巴西公司YKP。截至2024年8月22日，该组织已在全球范围内针对190个受害者。根据我们的数据，RansomHub在7月和8月（迄今为止）以受害者数量最多位列榜首。值得注意的是，他们总攻击中超过50%是在这两个月内实施的，这表明其运营活动显著升级，可能是由代理商参与度增加所驱动。 赎金中心报告 3 钱，钱，钱犯罪学图2：RansomHub发布拒绝支付赎金的受害者的数据对于该组的行政操作人员来说，重点不是支付率而是数量。加入的联盟伙伴越多，发动的攻击就越多，随着时间的推移，收入就会增加。即使只有十分之一的受害者付费，该操作仍然有利可图，产生数百万美元。RansomHub采用勒索软件即服务（RaaS）模式，声称代理商必须遵守谈判期间设定的协议和要求，不遵守将导致被禁止并终止合作。代理商获得勒索金额的90%，而主要组织获得剩余的10%。这些定价安排高于 RaaS 市场典型的 80-70% 范围。这种利润丰厚的费率可能会吸引来自其他平台的经验丰富的联盟成员，从而导致与 RansomHub 相关的感染和受害者激增，因为每个月我们都看到该组织在成功攻击的数量上打破了自己的记录。此外，RansomHub的DLS（数据泄露网站）表明他们避免针对CIS、古巴、朝鲜和中国。尽管他们声称自己是一个全球黑客社区，但他们的运营活动 closely resemble a traditional Russian ransomware setup。他们对俄罗斯相关国家的立场以及与其他俄罗斯勒索软件集团在目标公司中的重叠是值得注意的。通过分析该组织的DLS并统计已发布的表明受害者拒绝支付赎金的数据帖文，我们发现190名受害者中有160人选择不支付。剩下的30人中，有10名受害者仍在谈判中。这意味着在180名已解决或拒绝支付赎金的受害者中，只有11.2%的人实际上支付了赎金。此外，谈判通常会导致原要求的赎金金额减少。根据该组织的关于页面，RansomHub由来自全球各地的威胁行为者组成，他们因共同的财务获利目标而联合在一起。该团伙明确禁止针对某些国家和非营利组织的攻击。 RansomHub报告4 6654510299图3：“关于”部分在小组的DLS中图4：RansomHub针对的前十大国家被RansomHub攻击的十大国家图5：RansomHub针对的十大行业美国巴西澳大利亚印度被 RansomHub 针对的十大行业商务服务零售金融施工如下图所示，美国无疑是受攻击最严重的国家，截至目前已有66名受害者。根据我们的Q2勒索软件态势报告,我们可能会预见到英国或加拿大会占据第二位，然而，巴西在仅仅六个月内意外地占据了这一位置，受害人数为17人。值得注意的是，第一个受害者是一个巴西组织（YKP），这标志着针对该国组织的最初一步。就行业而言，商业服务是最受RansomHub攻击影响的部门，该类别中有45个组织。 11493641217477181212RansomHub报告5意大利英国西班牙加拿大德国荷兰教育服务政府制造医疗保健科技关键基础设施 这一切都是关于数字随着行业和设施数量的增加。图6：按收入区间划分的RansomHub受害者分布按收入区间划分的RansomHub受害分布图 7：按员工数量区间划分的 RansomHub 受害者分布按员工人数区间统计RansomHub受害者分布情况10百万美元以下$10M - $100M$100M - $1B1B以上1-20名员工21-100名员工101-500 员工501及以上员工受害者平均收入约为4.44亿美元，中位数为8000万美元。中位数和平均数之间的显著差距表明数据存在偏斜。仔细查看（图6），可以看出84%的受害者是年收入低于1亿美元的机构。如果我们排除那八个年收入超过10亿美元的受害者，平均收入将降至5968万美元。在我们的分析中，我们发现90%的受害者有员工数据。下表显示员工数量与收入之间存在正相关关系，其中60%的受害者是员工少于100家的组织。公司规模一家公司的员工数量往往可以反映其收入和其他因素。收入自二月开始运营以来，Cyberint研究团队已经严密监控该组织的运营，并揭示了目标公司规模和收入方面的有趣见解。 32%11%5%22%18% 52%27%33%RansomHub 报告6 恶意软件，工具集与战术、技术和程序RansomHub报告7图 8：Knight勒索软件与RansomHub之间的相似性值得注意的是，RansomHub的勒索软件使用Golang编写，与其他勒索软件团伙（如GhostSec）类似，这可能表明一个潜在的趋势。该团伙承诺在合作伙伴在付款后未能提供解密器或攻击了禁止的目标组织的情况下，免费向受害者发送解密器。该团伙使用的勒索软件可以在数据泄露前进行加密。该集团的勒索软件使用 Golang 和 C++ 开发，并针对 Windows、Linux 和 ESXi 实例。其一个显著特点是与其他 RaaS 选项相比，其加密速度快。1. 使用Go语言编写的勒索软件负载。这些负载使用GoObfuscate进行了混淆。2. 勒索软件负载命令行菜单相同：观察到，基于过去勒索软件攻击，RansomHub可能以某种方式与ALPHV勒索软件团伙相关联或为其重新品牌化。因此，工具和技术可能类似于ALPHV所使用的那些。根据Sophos研究，RansomHub也被与Knight勒索软件相比较，其中两个勒索软件团伙都在使用相似的指标，例如： EDRKillShifter图9：科利关于重大更新的公告远程勒索软件功能Sophos检测到了两个不同的EDRKillShifter样本，这两个样本都利用了GitHub上公开可用的概念验证漏洞。其中一个样本针对易受攻击的RentDrv2驱动器，而另一个则利用了过时的系统监控软件包中的一部分ThreatFireMonitor驱动器。EDRKillShifter可以根据攻击者的要求加载不同的驱动器。ransomhub组织开始部署一款新的恶意工具，旨在禁用端点检测与响应（edr）解决方案，使其能够绕过安全措施并获得对目标系统的完全控制权。该工具命名为edrkillshifter，由sophos在2024年5月的一次攻击失败后被发现。edrkillshifter作为一个引导加载程序运行，启用自带漏洞驱动（byovd）攻击，通过利用一个合法但存在漏洞的驱动程序来提升权限、禁用安全功能并控制系统。执行过程涉及三个步骤：首先，攻击者使用密码运行一个二进制文件，以解密并执行内存中的内置BIN资源。然后，代码解压缩并执行最终的有效载荷，加载易受攻击的驱动程序来提升权限、禁用活动进程和中立EDR系统。恶意软件随后为驱动程序创建一个新服务，启动它并加载驱动程序，进入一个无限循环，其中它持续监控运行进程，如果进程名称与加密目标列表中的名称匹配，则终止它们。在7月18日，威胁行为者宣布对勒索软件程序进行了重大更新（图9）。该组织表示，附属机构不再需要将文件存储器上传到受害者的加密机器上；相反，新的存储器现在支持远程加密。远程加密，也称为远程勒索软件，是指受感染的端点被用于加密同一网络中其他设备上的数据。2023年10月，微软报告称，现在大约60%的勒索软件攻击都利用远程加密来减少其足迹，其中超过80%的入侵来自未管理的设备。这种方法的优点在于：它绕过了基于进程的补救措施，因为受管理的机器无法检测到仅限于未管理设备上的恶意活动。此外，受管系统上的主机防御也无法识别勒索软件，因为它仅存在于未管理的机器上。恶意活动的唯一迹象是文档的传输。 RansomHub报告8 暗网活动图11：科利描绘了加入团体的规则图12：RansomHub的又一次重大更新图 10：另一份科利通知，这次是关于 VIP 版本的ransomhub主要从以俄罗斯为主的ramp论坛招募合作伙伴，该论坛由一个名为koley的威胁行为者运营。网络安全公司赛博智能的研究团队将koley认定为ransomhub勒索软件集团的代表，他定期在论坛上发布加入合作伙伴计划的更新和指南。在过去三个月中，koley发布了几项值得注意的声明。科莱于7月18日发布了一份关于勒索软件远程加密的重大更新，如图8所示，随后六天后又发布了一次进一步更新，重点关注加密的快速模式。5月1日，科莱宣布对其集团VIP版本（RAAS）进行了更新，包括文件修改功能和增强的加密方法。科利也重申了，不得与他人共享联盟个人面板的样品和截图，否则会导致面板被禁用以及其存款被没收。攻击者还概述了加入该团体的规则，强调论坛声誉、参与联盟的担保验证计划以及其他标准对会员资格至关重要。此外，从6月21日开始，没有论坛账号以验证其身份的攻击者被要求缴纳5000美元的押金。 RansomHub报告9 结论从金融角度来看，RansomHub的受害者涵盖了广泛的公司规模和收入范围。受攻击组织的平均收入约为4.44亿美元，尽管大多数（84%）受害者是收入低于1亿美元的较小组织。当排除收入超过10亿美元的少数大型组织时，平均收入显著下降至5968万美元。此外，60%的受害者是员工少于100人的小型公司，这突显了该组织的广泛目标策略。尽管赎金支付率较低——只有11.2%的受害者支付了赎金——该组织的策略侧重于数量而非个体支付。越来越多的附属机构的数量以及相应的攻击增加确保了持续的盈利能力，即使只有一小部分受害者支付。该组织的受害者学反映了传统的俄罗斯勒索软件操作，避免在独联体、古巴、朝鲜和中国等目标，而主要专注于美国和巴西的组织。总之，RansomHub的快速增长、有吸引力的联盟计划以及有针对性的定位策略，使其成为不断演变的勒索软件领域中一个重要的竞争者。Cyberint非常有信心，RansomHub正在努力在不久的将来将自己确立为主要的RaaS领导者。ransomhub迅速在勒索软件领域崛起，利用了像alphv和lockbit等主要参与者的干扰。该组织可能源于俄罗斯，并与前alphv附属机构有关联，通过利用其勒索软件即服务（raas）模式，该模式向附属机构提供有吸引力的利润分成条款，从而确立了其强大的力量。这种做法导致攻击激增，特别是在2024年7月和8月，他们超过一半的总攻击都发生在这两个月。 RansomHub报告10 缓解措施应急响应计划：创建并定期测试一份针对勒索软件的应急响应计划，该计划概述了识别、控制、减轻和从攻击中恢复的流程。定期数据备份：建立全面的备份策略，以确保关键数据定期备份，并在勒索软件攻击的情况下随时可用于恢复。安全意识培训：教育员工了解勒索软件威胁、钓鱼技巧以及网络安全最佳实践，以最大程度降低遭受攻击的可能性。电子邮件和网络安全：部署高级电子邮件过滤和网络安全解决方案，以阻止可能传播勒索软件的恶意附件、链接和钓鱼攻击。补丁和更新管理：定期使用最新的安全补丁更新操作系统、软件和应用程序，以解决勒索软件可能利用的漏洞。勒索软件攻击者不像正规企业那样公开分享他们的身份、动机或策略，也没有季度报告或新闻发布会。然而，他们确实会留下有价值的信息，供技术精湛的分析师用来分析他们的运