對於近日不斷發動攻擊的勒索軟體駭客組織RansomHub,資安業者賽門鐵克揭露這些駭客的攻擊手段,並指出對方很可能買下勒索軟體Knight原始碼,而能快速打造相關犯案工具
賽門鐵克指出,勒索軟體RansomHub於今年3月至5月,已成為全球第4大的勒索軟體威脅,僅次於LockBit、Play,以及Qilin。
研究人員指出,這些勒索軟體的程式碼內容高度重疊,光是從程式碼的特徵難以區別彼此,在許多情況下,他們只能藉由資料外洩網站的網址來辨別。再者,在兩款勒索軟體命令列的功能說明也幾乎一致,是RansomHub多了休眠(暫停運作)的能力。
而從勒索軟體加密檔案完成留下的勒索訊息而言,Knight使用的話語多半逐字出現在RansomHub的勒索訊息裡,這代表開發者延用舊的勒索訊息並調整部分內容。
這兩款勒索軟體的運作模式也存在共通點,那就是在開始加密檔案之前,將受害電腦重新開機,以便檔案加密過程較不受到阻礙。根據這項特徵,研究人員推測,Knight和RansomHub很可能源自於2019年出現的Snatch。
值得留意的是,雖然Knight和RansomHub存在許多共同點,但RansomHub並非Knight原班人馬東山再起,原因是Knight結束營運後於今年2月出售原始碼,因此研究人員認為,有人買下相關原始碼並組成了RansomHub。
而對於RansomHub的攻擊流程,研究人員提及,他們看到這些駭客通常利用ZeroLogon(CVE-2020-1472)取得初始入侵的管道,對方藉此得到網域管理員權限,從而控制整個網域。
這些駭客也擅長使用合法應用程式進行寄生攻擊,例如:使用遠端管理工具Atera、Splashtop進行遠端存取,運用NetScan對於受害組織的網路環境進行偵察。此外,他們也會利用iisreset.exe、iisrstas.exe停用IIS服務。
