正文

医疗保健和企业用户:勒索软件卷土重来

admin
admin V管理员 /0 评论 /90 阅读
0606
此篇文章发布距今已超过174天,您需要注意文章的内容或图片是否可用!

对名为 RansomHub 的新生勒索软件菌株的分析表明,它是 Knight 勒索软件的更新和更名版本,它本身就是另一种称为 Cyclops 的勒索软件的演变。

Knight(又名独眼巨人 2.0)勒索软件于 2023 年 5 月首次问世,采用双重勒索策略来窃取和加密受害者的数据以获取经济利益。它可以在多个平台上运行,包括 Windows、Linux、macOS、ESXi 和 Android。

RAMP 网络犯罪论坛上宣传和销售,涉及勒索软件的攻击已被发现利用网络钓鱼和鱼叉式网络钓鱼活动作为恶意附件形式的分发媒介。

勒索软件即服务 (RaaS) 操作已于 2024 年 2 月下旬关闭,当时其源代码被出售,这增加了它可能已经转手给其他参与者的可能性,后者随后决定以 RansomHub 品牌更新并重新启动它。

同月发布首位受害者的 RansomHub 与最近几周的一系列勒索软件攻击有关,其中包括 Change Healthcare、Christie's 和 Frontier Communications 的攻击。它还发誓要避免针对独立国家联合体(CIS)国家、古巴、朝鲜和中国的实体。

“两个有效载荷都是用 Go 编写的,每个系列的大多数变体都用 Gobfuscate 混淆,”博通旗下的赛门铁克在与 The Hacker News 分享的一份报告中表示。“两个系列之间的代码重叠程度很大,因此很难区分它们。

两者在命令行上共享相同的帮助菜单,RansomHub 添加了一个新的“睡眠”选项,使其在执行前的指定时间段(以分钟为单位)处于休眠状态。在 Chaos/Yashma 和 Trigona 勒索软件系列中也观察到了类似的睡眠命令。

Knight 和 RansomHub 之间的重叠还扩展到用于编码字符串的混淆技术、加密文件后丢弃的赎金记录,以及它们在开始加密之前以安全模式重新启动主机的能力。

赛门铁克表示,唯一的主要区别是通过cmd.exe执行的命令集,尽管“相对于其他操作调用它们的方式和顺序是相同的”。

据观察,RansomHub 攻击利用已知的安全漏洞(例如 ZeroLogon)在部署勒索软件之前获得初始访问权限并丢弃远程桌面软件,例如 Atera 和 Splashtop。

根据 Malwarebytes 分享的统计数据,仅在 2024 年 4 月,勒索软件家族就与 26 起确认的攻击有关,仅次于 Play、Hunters International、Black Basta 和 LockBit。

谷歌旗下的 Mandiant 在本周发布的一份报告中透露,RansomHub 正试图招募受到最近关闭或退出骗局影响的附属公司,例如 LockBit 和 BlackCat。

赛门铁克表示:“据报道,一家名为 Notchy 的前 Noberus 附属公司现在正在与 RansomHub 合作,除此之外,以前与另一家名为 Scattered Spider 的 Noberus 附属公司相关的工具也被用于最近的 RansomHub 攻击。

“RansomHub 建立业务的速度表明,该组织可能由在地下网络方面具有经验和联系的资深运营商组成。”

2022 年的“小幅下降”相比,2023 年勒索软件活动有所增加,尽管今年观察到的 50 个新家族中约有三分之一被发现是先前确定的勒索软件家族的变体,这表明代码重用、参与者重叠和品牌重塑的日益普遍。

“在近三分之一的事件中,勒索软件是在攻击者最初访问后的 48 小时内部署的,”Mandiant 研究人员说。“百分之七十六 (76%) 的勒索软件部署发生在工作时间之外,其中大部分发生在清晨。”

这些攻击的另一个特点是使用商用和合法的远程桌面工具来促进入侵操作,而不是依赖 Cobalt Strike。

Mandiant说:“观察到的对合法工具的日益依赖可能反映了攻击者努力从检测机制中隐藏其操作,并减少开发和维护自定义工具所需的时间和资源。

勒索软件攻击的反弹是在BlackSuit,Fog和ShrinkLocker等新的勒索软件变种出现之后出现的,后者已经观察到部署了Visual Basic脚本(VBScript),该脚本利用Microsoft的本机BitLocker实用程序在针对墨西哥,印度尼西亚和约旦的勒索攻击中进行未经授权的文件加密。

ShrinkLocker 之所以如此命名,是因为它能够通过将每个可用的非引导分区的大小缩小 100 MB 来创建新的引导分区,将未分配的空间变成新的主分区,并使用它来重新安装引导文件以启用恢复。

卡巴斯基在对 ShrinkLocker 的分析中表示:“这个威胁行为者对 VBScript 语言以及 Windows 内部和实用程序(如 WMI、diskpart 和 bcdboot)有广泛的了解,并指出他们可能”在执行脚本时已经完全控制了目标系统“。

尊敬的读者:
感谢您花时间阅读我们提供的这篇文章。我们非常重视您的时间和精力,并深知信息对您的重要性。
我们希望了解您对这篇文章的看法和感受。我们真诚地想知道您是否认为这篇文章为您带来了有价值的资讯和启示,是否有助于您的个人或职业发展。
如果您认为这篇文章对您非常有价值,并且希望获得更多的相关资讯和服务,我们愿意为您提供进一步的定制化服务。请通过填写我们提供的在线表单,与我们联系并提供您的邮箱地址或其他联系方式。我们将定期向您发送相关资讯和更新,以帮助您更好地了解我们的服务和文章内容。
                               扫描二维码,参与调查

END

点击下方,关注公众号
获取免费咨询和安全服务
安全咨询/安全集成/安全运营
专业可信的信息安全应用服务商!
http://www.jsgjxx.com


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
周飒博客-ZhouSa.com