CISA

美国网络安全暨基础设施安全局（CISA）、联邦调查局（FBI）、卫生及公共服务部（HHS），以及各州信息共享与分析中心（MS-ISAC）上周发布了联合公告，发布了勒索软件RansomHub的策略、技巧、流程（TTP）与网络入侵指针（IOC），因为今年2月才现身的RansomHub，迄今已成功攻击了至少210家受害者。

根据调查，RansomHub是由勒索软件Cyclops及Knight演变而来的勒索软件即服务（RaaS），此外，已经被执法机关破获及捣毁的BlackCat/ALPHV与LockBit勒索软件组织中，也有不少合作伙伴转而投靠RansomHub，而让RansomHub快速壮大。

迄今RansomHub已加密及外泄至少210家受害者的数据，受害领域涵盖水及废水、信息技术、政府服务与设施、医疗保健及公共卫生、紧急服务、食品与农业、金融服务、制造、运输及关键基础设施等。

黑客最初的入侵途径包括网钓攻击、利用十多个已知漏洞，以及密码喷洒等；成功入侵后再于系统上创建可持续存在的用户帐户，再通过安全测试工具Mimikatz来搜集凭证，并将权限提升至管理权限；接着借由各种方法以于网络中横向移动，窃取数据，并部署勒索软件。

RansomHub还替受害者创建一个用户端ID，通过特定的洋葱网址（.onion）与其联系，要求受害者在90天内支付赎金，否则就要外泄所窃取的数据。

此一公告并未公布RansomHub受害者的名字，不过，精品拍卖业者佳士得，台湾笔电代工业者蓝天电脑，以及美国医疗集团Change Healthcare都曾传出遭RansomHub入侵。