近期不斷登上新聞版面的新興勒索軟體駭客組織RansomHub,接連針對美國醫療集團Change Healthcare、英國精品拍賣業者佳士得(Christie's)、臺灣電腦製造商藍天(Clevo)出手,這個從今年2月才出現的駭客組織,已竄升至過去幾個月第4大的勒索軟體,其威脅態勢也引起研究人員高度關注。
資安業者賽門鐵克針對這個駭客組織著手進行身家調查,他們發現RansomHub的有效酬載與另一款名為Knight的勒索軟體具有高度相似性,這兩款惡意程式都是透過Go語言打造,而且,大部分的版本使用名為Gobfuscate的工具進行混淆處理。
賽門鐵克指出,勒索軟體RansomHub於今年3月至5月,已成為全球第4大的勒索軟體威脅,僅次於LockBit、Play,以及Qilin。
研究人員指出,這些勒索軟體的程式碼內容高度重疊,光是從程式碼的特徵難以區別彼此,在許多情況下,他們只能藉由資料外洩網站的網址來辨別。再者,在兩款勒索軟體命令列的功能說明也幾乎一致,是RansomHub多了休眠(暫停運作)的能力。
而從勒索軟體加密檔案完成留下的勒索訊息而言,Knight使用的話語多半逐字出現在RansomHub的勒索訊息裡,這代表開發者延用舊的勒索訊息並調整部分內容。
這兩款勒索軟體的運作模式也存在共通點,那就是在開始加密檔案之前,將受害電腦重新開機,以便檔案加密過程較不受到阻礙。根據這項特徵,研究人員推測,Knight和RansomHub很可能源自於2019年出現的Snatch。
值得留意的是,雖然Knight和RansomHub存在許多共同點,但RansomHub並非Knight原班人馬東山再起,原因是Knight結束營運後於今年2月出售原始碼,因此研究人員認為,有人買下相關原始碼並組成了RansomHub。
而對於RansomHub的攻擊流程,研究人員提及,他們看到這些駭客通常利用ZeroLogon(CVE-2020-1472)取得初始入侵的管道,對方藉此得到網域管理員權限,從而控制整個網域。
這些駭客也擅長使用合法應用程式進行寄生攻擊,例如:使用遠端管理工具Atera、Splashtop進行遠端存取,運用NetScan對於受害組織的網路環境進行偵察。此外,他們也會利用iisreset.exe、iisrstas.exe停用IIS服務。
熱門新聞
2024-12-22
2024-12-20
2024-12-22
2024-12-20