根据网络安全公司Group-IB披露的研究报告显示，勒索软件即服务(RaaS)生态圈正在经历格局重构。一个代号为RansomHub的新型组织自2024年初异军突起，趁势填补了ALPHV和LockBit等老牌团伙瓦解后的市场真空，目前已被证实攻击了超600家机构。

01.暗网招募与代码复用

Group-IB追踪发现，该勒索软件组织于 2024 年 2 月首次出现，RansomHub通过在RAMP等地下论坛高调发布联盟计划，积极招募从解散的勒索软件团队的分支机构，技术溯源表明，其核心勒索软件与Web应用源代码疑似继承自Knight团伙(又名独眼巨人)，这种"黑产遗产"的复用模式大幅缩短了攻击能力构建周期。该勒索程序具备跨平台攻击能力，可针对Windows、ESXi、Linux、FreeBSD等多系统环境实施加密，显著扩大了潜在攻击面。

02.高阶攻击技术图谱

RansomHub展现出成熟的攻击链构建能力：

1.零日漏洞武器化：具备快速将新披露漏洞转化为攻击入口的能力，防御方补丁窗口期被急剧压缩。

2.终端防护绕过：使用PCHunter等工具绕过EDR/AV防护进程。

3.混合攻击策略：在VPN服务爆破等传统技战术上保持高成功率。

4.横向移动模式：初始入侵后通过凭证转储(Credential Dumping)、权限提升(Privilege Escalation)建立持久化据点。

03.三重勒索杀伤链

典型攻击包含三个阶段：

●数据定位阶段：通过内网侦查精准定位NAS存储、备份系统等关键资产。

●数据渗出阶段：使用Filezilla等工具向C2服务器传输敏感数据。

●加密破坏阶段：终止虚拟机进程、删除卷影副本、清空系统日志，并禁用备份服务实施全盘加密。

04.按照平台定制化攻击战术

Group-IB报告指出，RansomHub针对不同操作系统开发定制化勒索软件变种，各版本均内置专属命令行参数。其中Windows变种具备"安全模式执行"、"网络传播开关"等精细化控制功能，展现出对目标环境的高度适配能力。

医疗金融成重灾区

"2024年全球已有超过600家机构遭袭，涵盖医疗、金融、政务、关键基础设施等敏感领域，RansomHub已坐实年度最活跃勒索组织称号。"——Group-IB

05.14小时闪电战复盘

某典型案例中，攻击者在14小时内完成全攻击链：

●初始突破(TA0001)：首先尝试利用Palo Alto防火墙漏洞(CVE-2024-3400 CVSS 9.8)，但没有成功;

●权限维持(TA0003)：通过VPN凭据爆破获取内网准入权限，这次暴力破解尝试基于包含 5,000 多个用户名和密码的丰富词典。攻击者最终通过数据备份解决方案中常用的默认帐户获得访问权限，最终突破了边界。

●域控接管(TA0004)：组合利用sAMAccount伪装漏洞(CVE-2021-42278)与zerologon提权漏洞(CVE-2020-1472)掌控域控制器。

●横向渗透(TA0008)：遍历NAS服务器与共享文件夹实施数据定位。

●数据渗出(TA0010)：通过Filezilla建立C2通道传输2.5TB敏感数据。

●加密勒索(TA0040)：禁用Veeam备份服务后部署跨平台勒索程序。

06.四年未修补漏洞成致命伤

这凸显了修补已知漏洞的重要性，正如Outpost24的首席安全官Martin Jartelius强调："面对零日漏洞或供应链攻击尚可归咎于防御难度，但当企业因四年前已发布补丁的漏洞沦陷时，这明显是风险管理层面的重大失职。攻击链的起点从来不是某个漏洞利用，而是暴露在外的攻击面。必须通过强化边界防护与人员培训压缩入侵概率，放任系统带病运行无异于自毁长城。"

* 本文为闫志坤编译，原文地址：https://hackread.com/ransomhub-king-of-ransomware-600-firms-2024/

来源：数世咨询