威胁数据库 Ransomware RansomHub 勒索软件

RansomHub 勒索软件

通过Mezo在 Ransomware

翻译为：

网络安全分析师发现了一种名为 RansomHub 的新型勒索软件。据报道，其背后的网络犯罪分子声称他们不会针对独立国家联合体 (CIS)、古巴、朝鲜和中国的实体。尽管如此，他们还是在短时间内积极感染了几个知名组织。他们的受害者包括 Change Healthcare、Christie's 和 Frontier Communications。值得注意的是，研究人员强调，RansomHub 与Knight Ransomware有着很大的相似之处，后者是之前发现的名为Cyclops的勒索软件的一个迭代。

目录

Knight 勒索软件代码向所有网络犯罪分子出售

Knight 勒索软件（也称为 Cyclops 2.0）于 2023 年 5 月出现，利用双重勒索技术窃取和加密受害者的数据以牟利。它能够在各种平台上运行，包括 Windows、Linux、macOS、ESXi 和 Android。

这种勒索软件在 RAMP 网络犯罪论坛上出售，其攻击通常依赖于网络钓鱼和鱼叉式网络钓鱼策略，使用欺诈性附件进行分发。勒索软件即服务 (RaaS) 操作于 2024 年 2 月底停止，其源代码被出售。此举提出了将其转移到新参与者的可能性，新参与者可能已将其更新并以 RansomHub 的名义重新启动。

RansomHub 与 Knight 勒索软件之间存在显著重叠

两种勒索病毒都是用 Go 编写的，每个家族的大多数版本都使用 Gobfuscate 进行混淆。两者的代码相似度很高，很难区分。

这两个勒索软件系列在命令行界面上共享相同的帮助菜单。但是，RansomHub 引入了一个新的“休眠”选项，允许它在执行前保持非活动状态一段时间（以分钟为单位）。在其他威胁中也观察到了类似的休眠命令，例如Chaos / Yashma和Trigona勒索软件。

Knight 和 RansomHub 之间的相似之处包括用于编码字符串的混淆技术、加密文件后留下的赎金纸条的内容，以及在加密开始之前将主机重新启动到安全模式的能力。

主要区别在于通过 cmd.exe 执行的命令集，尽管它们的顺序和相对于其他操作的执行保持不变。

RansomHub 勒索软件可能由资深网络犯罪分子操作

据观察，RansomHub 攻击利用已知的安全漏洞（例如ZeroLogon ）来获取初始访问权限。他们在部署勒索软件之前会植入 Atera 和 Splashtop 等远程桌面软件。仅在 2024 年 4 月，就有近 30 起确认的攻击与此勒索软件有关。

研究人员怀疑 RansomHub 正在积极寻找受近期关闭或退出策略影响的关联公司，例如LockBit和BlackCat （也称为 ALPHV 和 Noberus）。据信，一家名为 Notchy 的前 Noberus 关联公司现在可能正在与 RansomHub 合作。此外，之前与另一家 Noberus 关联公司 Scattered Spider 关联的工具在最近的一次 RansomHub 攻击中使用。

RansomHub 业务的迅速扩张表明该组织可能由在网络地下活动中具有经验和人脉的经验丰富的操作员组成。

勒索软件攻击再次兴起

RansomHub 的开发正值 2023 年勒索软件活动增加之际，而 2022 年勒索软件活动略有下降。有趣的是，今年发现的 50 个新勒索软件家族中，约有三分之一是之前发现的勒索软件家族的变种。这一趋势表明代码回收、参与者重叠和品牌重塑策略越来越普遍。

这些攻击的特点是使用市售的合法远程桌面工具，而不是依赖Cobalt Strike 。对此类合法工具的依赖性越来越强，这可能表明攻击者正在努力逃避检测机制并简化其操作，从而减少开发和维护自定义工具的需要。

RansomHub 勒索软件的受害者将收到以下赎金通知：

'Hello!

Visit our Blog:

Tor Browser Links:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion/

Links for normal browser:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion.ly/

>>> Your data is stolen and encrypted.

- If you don't pay the ransom, the data will be published on our TOR darknet sites. Keep in mind that once your data appears on our leak site, it could be bought by your competitors at any second, so don't hesitate for a long time. The sooner you pay the ransom, the sooner your company will be safe.

>>> If you have an external or cloud backup; what happens if you don’t agree with us?

- All countries have their own PDPL (Personal Data Protection Law) regulations. In the event that you do not agree with us, information pertaining to your companies and the data of your company’s customers will be published on the internet, and the respective country’s personal data usage authority will be informed. Moreover, confidential data related to your company will be shared with potential competitors through email and social media. You can be sure that you will incur damages far exceeding the amount we are requesting from you should you decide not to agree with us.

>>> Don't go to the police or the FBI for help and don't tell anyone that we attacked you.

- Seeking their help will only make the situation worse,They will try to prevent you from negotiating with us, because the negotiations will make them look incompetent,After the incident report is handed over to the government department, you will be fined ,The government uses your fine to reward them.And you will not get anything, and except you and your company, the rest of the people will forget what happened!!!!!

>>> How to contact with us?

- Install and run 'Tor Browser' from hxxps://www.torproject.org/download/
- Go to hxxp://h6tejafqdkdltp****************seslv6djgiukiii573xtid.onion/
- Log in using the Client ID: -

>>> WARNING

DO NOT MODIFY ENCRYPTED FILES YOURSELF.
DO NOT USE THIRD PARTY SOFTWARE TO RESTORE YOUR DATA.
YOU MAY DAMAGE YOUR FILES, IT WILL RESULT IN PERMANENT DATA LOSS.'

趋势

GuardGo

Browser Hijackers

May 25, 2024

GuardGo 是一款浏览器劫持程序，因其侵入行为而臭名昭著，影响用户的浏览体验。下面详细介绍了其特征和影响： GuardGo 的工作原理 GuardGo 通常通过欺骗性安装方法（例如捆绑软件或虚假更新）渗透系统。安装后，它会在未经用户同意的情况下修改浏览器设置，包括默认搜索引擎、主页和新标签页。这种更改可确保用户不断接触劫持者注入的广告和重定向的搜索结果。对用户的影响 GuardGo...

超级卫士

可能不需要的程序, Adware

May 23, 2024

MegaGuard 是一款伪装成有用浏览器扩展程序的广告软件。它被宣传为一款旨在阻止访问可疑网站的安全工具。然而，广告软件从定义上来说是一种支持广告的软件，其主要目的是通过侵入性广告为其开发者或发布商创造收入。此外，MegaGuard 还很可能跟踪和监控用户的浏览活动。 MegaGuard 可能会给用户带来更多隐私和安全问题...

Guardian Angel Extension

可能不需要的程序, Adware, Browser Hijackers

May 25, 2024

Guardian Angel 是一款具有侵入性功能的浏览器扩展程序，本质上充当浏览器劫持程序。安装后，它会将广告插入用户浏览的网站，并更改其浏览器搜索查询，以将他们引导至推广的地址。此外，Guardian Angel 还利用合法的“由您的组织管理”浏览器功能，使用户难以轻松删除该扩展程序。 Guardian Angel 可能会使用户面临不必要的隐私和安全风险 Guardian Angel...

最受关注

Discord 在共享屏幕时显示黑屏截图

Discord 在共享屏幕时显示黑屏

June 22, 2021 83,504

首次推出时，Discord 是一个面向游戏社区的 VoIP 平台。然而，在接下来的几年里，它扩大了范围，增加了许多新功能，并成为最大的社交平台之一，每月活跃用户超过 1.4 亿。目前，用户可以发送私人即时消息、启动 VoIP 和视频通话、流式传输他们的计算机屏幕，并组织以特定兴趣为中心的称为服务器的社区。毫无疑问，快速轻松地开始共享计算机屏幕的能力是吸引人们使用 Discord...

如何修复“打印机驱动程序不可用”错误

June 30, 2021 65,521

打印机因拒绝在用户最需要的时候完成工作而臭名昭著。幸运的是，如果您的打印机显示“打印机驱动程序不可用”错误，那么有几个简单的解决方案可以解决该问题。此特定错误可能是由损坏的驱动程序文件、过时的驱动程序或驱动程序不兼容引起的。虽然使用 Microsoft 的通用驱动程序可以避免该问题，但我们想向您介绍其他解决方案。更新打印机的驱动程序...

Msedge.exe 是什么？

November 23, 2021 61,855

一些 Windows 用户可能会注意到一个名为“msedge.exe”的进程在他们的系统后台处于活动状态。通常，没有什么可担心的，因为这个特定过程是 Microsoft Edge 浏览器的一部分。即使 msedge.exe 应用程序占用了大量系统的 CPU 或 RAM...

正在加载...