CISA

美國網路安全暨基礎設施安全域性（CISA）、聯邦調查局（FBI）、衛生及公共服務部（HHS），以及各州資訊共享與分析中心（MS-ISAC）上週發布了聯合公告，釋出了勒索軟體RansomHub的策略、技巧、流程（TTP）與網路入侵指標（IOC），因為今年2月才現身的RansomHub，迄今已成功攻擊了至少210家受害者。

根據調查，RansomHub是由勒索軟體Cyclops及Knight演變而來的勒索軟體即服務（RaaS），此外，已經被執法機關破獲及搗毀的BlackCat/ALPHV與LockBit勒索軟體組織中，也有不少合作夥伴轉而投靠RansomHub，而讓RansomHub快速壯大。

迄今RansomHub已加密及外洩至少210家受害者的資料，受害領域涵蓋水及廢水、資訊技術、政府服務與設施、醫療保健及公共衛生、緊急服務、食品與農業、金融服務、製造、運輸及關鍵基礎設施等。

駭客最初的入侵途徑包括網釣攻擊、利用十多個已知漏洞，以及密碼噴灑等；成功入侵後再於系統上建立可持續存在的使用者帳戶，再透過安全測試工具Mimikatz來蒐集憑證，並將權限提升至管理權限；接著藉由各種方法以於網路中橫向移動，竊取資料，並部署勒索軟體。

RansomHub還替受害者建立一個用戶端ID，透過特定的洋蔥網址（.onion）與其聯繫，要求受害者在90天內支付贖金，否則就要外洩所竊取的資料。

此一公告並未公佈RansomHub受害者的名字，不過，精品拍賣業者佳士得，臺灣筆電代工業者藍天電腦，以及美國醫療集團Change Healthcare都曾傳出遭RansomHub入侵。