什么是RansomHub?看起来像是Knight勒索软件重启
今年2月出现的RansomHub一直非常活跃:它吹嘘自己窃取了佳士得的客户数据,然后有点讽刺地拍卖了从美国宽带电信公司Frontier Communications窃取的内部信息-甚至在ALPHV的一家附属公司已经通过勒索软件成功勒索这家医疗集团后改变了医疗保健.
据威胁猎人称,RansomHub是一个新的网络犯罪组织,声称是从佳士得拍卖行和其他拍卖行窃取数据的幕后黑手,在过去三个月里“很可能”是骑士勒索软件团伙的某种重新命名.
至少根据赛门铁克的数据,就声称受到攻击的数量而言,RansomHub一直是第四多产的勒索软件团队.
根据记录:LockBit在赛门铁克的排名中仍然高居榜首,声称有489起勒索软件感染事件,紧随其后的是Play(101起)、麒麟(92起)和RansomHub(61起).
赛门铁克调查了RansomHub最近的一些攻击,其英特尔团队报告称,犯罪分子经常通过滥用微软NetLogon远程协议中的ZeroLogon特权提升漏洞(CVE-2020-1472)来访问受害者.
一旦他们闯入IT环境,这些恶棍就会部署包括Atera和Splashtop在内的几个合法工具进行远程访问,并通过NetScan收集有关网络设备的信息.
不法分子部署勒索软件有效负载,渗透并加密受感染的Windows PC文件.
未能支付要求之后,被盗数据将被泄露或出售.
RansomHub甚至向受害者施压,暗示如果不支付赎金,他们的商业竞争对手可能会购买他们的内部文件.
博通拥有的安全商店分析了该团伙的恶意软件,发现RansomHub和Knight之间存在高度的代码重叠,而Knight本身被认为是原始Cyclops勒索软件的更新换代.
此外,两者都是用Go编写的,大多数变体都使用Gobfuscate来掩盖他们的踪迹.
赛门铁克团队认为,RansomHub和Knight的代码非常相似,以至于“在许多情况下,只有通过检查指向数据泄露站点的嵌入链接才能确认确定.
”此外,两者在命令行上提供的帮助菜单几乎相同,唯一的区别是RansomHub中的睡眠命令.
“赎金笔记甚至共享一些相同的短语,”赛门铁克认为,这表明开发人员只需编辑和更新原始的[Knight]笔记.
