研究人員針對新興勒索軟體駭客組織RansomHub進行調查，對方利用ZeroLogon入侵受害組織

近期不斷登上新聞版面的新興勒索軟體駭客組織RansomHub，接連針對美國醫療集團Change Healthcare、英國精品拍賣業者佳士得（Christie's）、臺灣電腦製造商藍天（Clevo）出手，這個從今年2月才出現的駭客組織，已竄升至過去幾個月第4大的勒索軟體，其威脅態勢也引起研究人員高度關注。

資安業者賽門鐵克針對這個駭客組織著手進行身家調查，他們發現RansomHub的有效酬載與另一款名為Knight的勒索軟體具有高度相似性，這兩款惡意程式都是透過Go語言打造，而且，大部分的版本使用名為Gobfuscate的工具進行混淆處理。

賽門鐵克指出，勒索軟體RansomHub於今年3月至5月，已成為全球第4大的勒索軟體威脅，僅次於LockBit、Play，以及Qilin。

研究人員指出，這些勒索軟體的程式碼內容高度重疊，光是從程式碼的特徵難以區別彼此，在許多情況下，他們只能藉由資料外洩網站的網址來辨別。再者，在兩款勒索軟體命令列的功能說明也幾乎一致，是RansomHub多了休眠（暫停運作）的能力。

而從勒索軟體加密檔案完成留下的勒索訊息而言，Knight使用的話語多半逐字出現在RansomHub的勒索訊息裡，這代表開發者延用舊的勒索訊息並調整部分內容。

這兩款勒索軟體的運作模式也存在共通點，那就是在開始加密檔案之前，將受害電腦重新開機，以便檔案加密過程較不受到阻礙。根據這項特徵，研究人員推測，Knight和RansomHub很可能源自於2019年出現的Snatch。

值得留意的是，雖然Knight和RansomHub存在許多共同點，但RansomHub並非Knight原班人馬東山再起，原因是Knight結束營運後於今年2月出售原始碼，因此研究人員認為，有人買下相關原始碼並組成了RansomHub。

而對於RansomHub的攻擊流程，研究人員提及，他們看到這些駭客通常利用ZeroLogon（CVE-2020-1472）取得初始入侵的管道，對方藉此得到網域管理員權限，從而控制整個網域。

這些駭客也擅長使用合法應用程式進行寄生攻擊，例如：使用遠端管理工具Atera、Splashtop進行遠端存取，運用NetScan對於受害組織的網路環境進行偵察。此外，他們也會利用iisreset.exe、iisrstas.exe停用IIS服務。