图片来源:
CISA
美国网路安全暨基础设施安全局(CISA)、联邦调查局(FBI)、卫生及公共服务部(HHS),以及各州资讯共享与分析中心(MS-ISAC)上周发布了联合公告,释出了勒索软体RansomHub的策略、技巧、流程(TTP)与网路入侵指标(IOC),因为今年2月才现身的RansomHub,迄今已成功攻击了至少210家受害者。
根据调查,RansomHub是由勒索软体Cyclops及Knight演变而来的勒索软体即服务(RaaS),此外,已经被执法机关破获及捣毁的BlackCat/ALPHV与LockBit勒索软体组织中,也有不少合作伙伴转而投靠RansomHub,而让RansomHub快速壮大。
迄今RansomHub已加密及外泄至少210家受害者的资料,受害领域涵盖水及废水、资讯技术、政府服务与设施、医疗保健及公共卫生、紧急服务、食品与农业、金融服务、制造、运输及关键基础设施等。
骇客最初的入侵途径包括网钓攻击、利用十多个已知漏洞,以及密码喷洒等;成功入侵后再于系统上建立可持续存在的使用者帐户,再透过安全测试工具Mimikatz来搜集凭证,并将权限提升至管理权限;接著借由各种方法以于网路中横向移动,窃取资料,并部署勒索软体。
RansomHub还替受害者建立一个用户端ID,透过特定的洋葱网址(.onion)与其联系,要求受害者在90天内支付赎金,否则就要外泄所窃取的资料。
此一公告并未公布RansomHub受害者的名字,不过,精品拍卖业者佳士得,台湾笔电代工业者蓝天电脑,以及美国医疗集团Change Healthcare都曾传出遭RansomHub入侵。