威脅數據庫 Ransomware RansomHub 勒索軟體

RansomHub 勒索軟體

Ransomware 年Mezo年

翻譯為：

網路安全分析師發現了一種名為 RansomHub 的新型勒索軟體。據報道，其背後的網路犯罪分子聲稱他們不會針對獨立國家聯合體（CIS）國家、古巴、北韓和中國的實體。儘管有這樣的聲明，他們仍在短時間內積極感染幾個著名組織。受害者包括 Change Healthcare、佳士得 (Christie's) 和 Frontier Communications。值得注意的是，研究人員強調 RansomHub 與Knight Ransomware非常相似，Knight Ransomware 是先前發現的名為Cyclops的勒索軟體的迭代。

目錄

Knight 勒索軟體代碼已向所有網路犯罪分子出售

Knight 勒索軟體，也稱為 Cyclops 2.0，於 2023 年 5 月出現，利用雙重勒索技術竊取和加密受害者的資料以獲取利潤。它能夠在各種平台上運行，包括 Windows、Linux、macOS、ESXi 和 Android。

這種勒索軟體在 RAMP 網路犯罪論壇上出售，其攻擊通常依賴網路釣魚和魚叉式網路釣魚策略，使用欺詐性附件進行分發。勒索軟體即服務 (RaaS) 操作於 2024 年 2 月下旬停止，其原始碼被出售。這一舉動增加了轉移給新演員的可能性，新演員可能已經更新並以 RansomHub 的名義重新啟動了該項目。

RansomHub 和 Knight 勒索軟體之間存在顯著重疊

這兩種勒索軟體都是用 Go 編寫的，每個系列的大多數版本都用 Gobfuscate 進行了混淆。兩者之間的程式碼有很大程度的相似性，因此很難區分它們。

兩個勒索軟體系列在命令列介面上共享相同的幫助選單。然而，RansomHub 引入了一個新的「睡眠」選項，允許其在執行之前在指定的時間內（以分鐘為單位）保持不活動狀態。在Chaos / Yashma和Trigona勒索軟體等其他威脅中也觀察到了類似的睡眠指令。

Knight 和 RansomHub 之間的相似之處還包括用於編碼字串的混淆技術、加密檔案後留下的勒索訊息的內容，以及它們在加密開始之前將主機重新啟動到安全模式的能力。

主要區別在於透過 cmd.exe 執行的命令集，儘管它們的順序和相對於其他操作的執行保持相同。

RansomHub 勒索軟體可能由經驗豐富的網路犯罪分子操作

據觀察，RansomHub 攻擊利用已知的安全漏洞（例如ZeroLogon ）來取得初始存取權限。他們在部署勒索軟體之前會放棄 Atera 和 Splashtop 等遠端桌面軟體。光是 2024 年 4 月，就有近 30 起已確認的攻擊與該勒索軟體菌株有關。

研究人員懷疑 RansomHub 正在積極尋找受近期關閉或退出策略影響的附屬公司，例如LockBit和BlackCat （也稱為 ALPHV 和 Noberus）。據信，Noberus 的一家名為 Notchy 的前子公司現在可能正在與 RansomHub 合作。此外，先前與另一個 Noberus 附屬機構 Scattered Spider 相關的工具也被用於最近的 RansomHub 攻擊。

RansomHub 業務的迅速擴張表明，該組織可能由在地下網路領域擁有經驗和人脈的經驗豐富的營運商組成。

勒索軟體攻擊再次上升

RansomHub 的開發正值勒索軟體活動在2022 年略有下降之後，2023 年有所上升。變體。這一趨勢表明代碼回收、參與者重疊和品牌重塑策略越來越普遍。

這些攻擊因其使用商業上可用的合法遠端桌面工具而不是依賴Cobalt Strike而引人注目。對此類合法工具的日益依賴可能表明攻擊者努力逃避檢測機制並簡化其操作，從而減少開發和維護自訂工具的需求。

RansomHub 勒索軟體的受害者將收到勒索訊息：

'Hello!

Visit our Blog:

Tor Browser Links:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion/

Links for normal browser:
hxxp://ransomxifxwc5eteopdo****************ifu2emfbecgbqdw6qd.onion.ly/

>>> Your data is stolen and encrypted.

- If you don't pay the ransom, the data will be published on our TOR darknet sites. Keep in mind that once your data appears on our leak site, it could be bought by your competitors at any second, so don't hesitate for a long time. The sooner you pay the ransom, the sooner your company will be safe.

>>> If you have an external or cloud backup; what happens if you don’t agree with us?

- All countries have their own PDPL (Personal Data Protection Law) regulations. In the event that you do not agree with us, information pertaining to your companies and the data of your company’s customers will be published on the internet, and the respective country’s personal data usage authority will be informed. Moreover, confidential data related to your company will be shared with potential competitors through email and social media. You can be sure that you will incur damages far exceeding the amount we are requesting from you should you decide not to agree with us.

>>> Don't go to the police or the FBI for help and don't tell anyone that we attacked you.

- Seeking their help will only make the situation worse,They will try to prevent you from negotiating with us, because the negotiations will make them look incompetent,After the incident report is handed over to the government department, you will be fined ,The government uses your fine to reward them.And you will not get anything, and except you and your company, the rest of the people will forget what happened!!!!!

>>> How to contact with us?

- Install and run 'Tor Browser' from hxxps://www.torproject.org/download/
- Go to hxxp://h6tejafqdkdltp****************seslv6djgiukiii573xtid.onion/
- Log in using the Client ID: -

>>> WARNING

DO NOT MODIFY ENCRYPTED FILES YOURSELF.
DO NOT USE THIRD PARTY SOFTWARE TO RESTORE YOUR DATA.
YOU MAY DAMAGE YOUR FILES, IT WILL RESULT IN PERMANENT DATA LOSS.'

熱門

GuardGo

Browser Hijackers

May 25, 2024

GuardGo 是一個瀏覽器劫持者，因其侵入行為而臭名昭著，影響用戶的瀏覽體驗。以下詳細介紹一下它的特色和影響： GuardGo 的工作原理 GuardGo 通常透過欺騙性安裝方法滲透系統，例如捆綁軟體或虛假更新。一旦安裝，它會在未經用戶同意的情況下修改瀏覽器設置，包括預設搜尋引擎、主頁和新標籤頁。此變更可確保使用者持續暴露於劫持者註入的廣告和重新導向的搜尋結果。對使用者的影響...

超級衛士

潛在有害程序, Adware

May 23, 2024

MegaGuard 是一種偽裝成有用的瀏覽器擴充功能的廣告軟體。它被宣傳為一種安全工具，旨在阻止對可疑網站的訪問。然而，根據定義，廣告軟體是支援廣告的軟體，其主要目的是透過侵入性廣告為其開發者或發布者創造收入。此外，MegaGuard 很可能還會追蹤和監視用戶的瀏覽活動。 MegaGuard 可能會讓用戶面臨更多的隱私和安全問題...

Guardian Angel Extension

潛在有害程序, Adware, Browser Hijackers

May 25, 2024

Guardian Angel 是一個具有侵入性功能的瀏覽器擴展，本質上充當瀏覽器劫持者。安裝後，它會將廣告插入用戶瀏覽的網站中，並更改他們的瀏覽器搜尋查詢以引導他們訪問升級的地址。此外，Guardian Angel 利用合法的「由您的組織管理」瀏覽器功能，使用戶很難輕鬆刪除擴充功能。守護天使可能會讓使用者面臨不必要的隱私和安全風險 Guardian Angel...

最受關注

Discord 在共享屏幕時顯示黑屏截图

Discord 在共享屏幕時顯示黑屏

June 22, 2021 83,504

首次推出時，Discord 是一個面向遊戲社區的 VoIP 平台。然而，在接下來的幾年裡，它擴大了範圍，增加了許多新功能，並成為最大的社交平台之一，每月活躍用戶超過 1.4 億。目前，用戶可以發送私人即時消息、啟動 VoIP 和視頻通話、流式傳輸他們的計算機屏幕，並組織以特定興趣為中心的稱為服務器的社區。毫無疑問，快速輕鬆地開始共享計算機屏幕的能力是吸引人們使用 Discord...

如何修復“打印機驅動程序不可用”錯誤

June 30, 2021 65,521

打印機因拒絕在用戶最需要的時候完成工作而臭名昭著。幸運的是，如果您的打印機顯示“打印機驅動程序不可用”錯誤，那麼有幾個簡單的解決方案可以解決該問題。此特定錯誤可能是由損壞的驅動程序文件、過時的驅動程序或驅動程序不兼容引起的。雖然使用 Microsoft 的通用驅動程序可以避免該問題，但我們想向您介紹其他解決方案。更新打印機的驅動程序...

Msedge.exe 是什麼？

November 23, 2021 61,855

一些 Windows 用戶可能會注意到一個名為“msedge.exe”的進程在他們的系統後台處於活動狀態。通常，無需擔心，因為此特定進程是 Microsoft Edge 瀏覽器的一部分。即使 msedge.exe 應用程序佔用了大量系統的 CPU 或 RAM 資源，這也可能是正常的，具體取決於瀏覽器的當前負載、同時打開的選項卡數量以及視頻、圖像、以及每個站點包含的其他圖形元素。...

加載中...