近期不断登上新闻版面的新兴勒索软体骇客组织RansomHub,接连针对美国医疗集团Change Healthcare、资安业者赛门铁克针对这个骇客组织著手进行身家调查,赛门铁克指出,勒索软体RansomHub于今年3月至5月,已成为全球第4大的勒索软体威胁,仅次于LockBit、Play,以及Qilin。
研究人员指出,这些勒索软体的程式码内容高度重叠,光是从程式码的特征难以区别彼此,在许多情况下,他们只能借由资料外泄网站的网址来辨别。再者,在两款勒索软体命令列的功能说明也几乎一致,是RansomHub多了休眠(暂停运作)的能力。
而从勒索软体加密档案完成留下的勒索讯息而言,Knight使用的话语多半逐字出现在RansomHub的勒索讯息里,这代表开发者延用旧的勒索讯息并调整部分内容。
这两款勒索软体的运作模式也存在共通点,那就是在开始加密档案之前,将受害电脑重新开机,以便档案加密过程较不受到阻碍。根据这项特征,研究人员推测,Knight和RansomHub很可能源自于2019年出现的Snatch。
值得留意的是,虽然Knight和RansomHub存在许多共同点,但RansomHub并非Knight原班人马东山再起,原因是Knight结束营运后于今年2月出售原始码,因此研究人员认为,有人买下相关原始码并组成了RansomHub。
而对于RansomHub的攻击流程,研究人员提及,他们看到这些骇客通常利用ZeroLogon(CVE-2020-1472)取得初始入侵的管道,对方借此得到网域管理员权限,从而控制整个网域。
这些骇客也擅长使用合法应用程式进行寄生攻击,例如:使用远端管理工具Atera、Splashtop进行远端存取,运用NetScan对于受害组织的网路环境进行侦察。此外,他们也会利用iisreset.exe、iisrstas.exe停用IIS服务。