RansomHouse
RansomHouse团伙首次出现在2021年底,并通过积极部署勒索软件变体来攻击目标网络,其采用Ransomware-as-a-Service(RaaS)即勒索病毒即服务模式。 该团伙会要求受害者支付赎金去解密文件并且还会在其博客公开发布未支付赎金的受害者的数据。 他们的策略、技术和程序(TTP)有着成熟而复杂的执行水平,利用内容交付网络(CDN)服务器进行渗透,并利用基于Tor的聊天室与受害者进行谈判。试图通过包装出“专业调解员社区”的形象来将自己与典型的勒索软件运营商区分开来。 该团伙使用Mario ESXi以及MrAgent两种变体,来针对基于Windows和Linux的系统。在逆向两个样本时发现该变体与Babuk共享代码。基于Babuk的源代码泄露,今后也将出现更多的勒索软件家族的“分叉”。
首次出现时间:
2021
攻击方法:
null
勒索地址:
平台一、自建暗网网站
1、服务条款说明页面:
- 地址:http://zohlm7ahjwegcedoz7lrdrti7bvpofymcayotp744qhx6gjmxbuo2yid.onion/rl
- 界面:
- 解释:说明了规则和付款须知
2、谈判页面:
- 地址:http://ig5q5pdrgudsuyiclqi5yiip6oqmb5qioee4byipkjwdu5ezbwodqiad.onion/
- 界面:
- 解释:每个聊天室都是随机独立的,这种方法使得对他们的溯源工作将变得十分复杂。通过谈判内容可知RansomHouse的赎金金额是可以协商的且存在合作伙伴。
3、泄漏数据页面:
- 地址:http://zohlm7ahjwegcedoz7lrdrti7bvpofymcayotp744qhx6gjmxbuo2yid.onion/
- 界面:
- 解释:本页面为该勒索组织主页及数据泄露页面,持续更新当前被勒索的相关组织机构的数据泄露时间、数据量与样本。下图页面包含被勒索组织机构的简要说明信息和其成功实施信息加密、盗取的证据文件下载浏览地址,以及本次泄露的数据大小和加密日期,并通过实时更新泄露数据证据的被浏览次数来对勒索对象施加压力
4、常见问题页面:
- 地址:http://zohlm7ahjwegcedoz7lrdrti7bvpofymcayotp744qhx6gjmxbuo2yid.onion/fq
- 界面:
- 解释:一些常见的问题在这里有答复
平台二、Telegram
- 地址:https://t.me/Rhouse_News
- 界面:
平台三、Twitter | X
捕获分析:
暂未信息
加密算法:
暂未信息
受害者勒索金额:
| DATE | TITLE |
|---|---|
| 2025-02-08 | Nationz Technologies Inc. |
| 2025-01-27 | Supreme Administrative Court of Bulgaria |
| 2025-01-20 | Aishu, Eshoo |
| 2025-01-20 | EVIDENCE Aishu, Eshoo |
| 2024-11-01 | INFiLED |
| 2024-10-22 | Sabesp |
| 2024-10-10 | GuangDong South Land pharmaceutical |
| 2024-09-23 | Interior Metals |
| 2024-09-06 | Fursan Travel |
| 2024-08-18 | VOP CZ |
| 2024-08-18 | File Tree and Full Data DumpVOP CZ |
| 2024-08-11 | Universite Paris Sud |
| 2024-08-11 | Jangho Group |
| 2024-08-11 | i2p-torrentJangho Group |
谈判记录:
暂未信息
近期攻击案例:
暂未信息
变种演化:
暂未信息
IOC 信息
Win环境下特征值
| 种类 | 特征值 |
|---|---|
| SHA256 | E142F4E8EB3FB4323FB377138F53DB66E3E6EC9E82930F4B23DD91A5F7BD45D0 |
| SHA256 | 8140004FF3CF4923C928708505754497E48D26D822A95D63BD2ED54E14F19766 |
| SHA256 | BC4066C3B8D2BB4AF593CED9905D1C9C78FFF5B10AB8DBED7F45DA913FB2D748 |
敏感文件
| 文件名 | 描述 |
|---|---|
| 1.ps1 | Veeam凭证转储 |
| n.txt | 未知 |
| mimikatz-master.zip | 开源凭转储程序,用于提取账户和密码信息 |
| mimikatz.exe | 开源地址:https://github.com/gentilkiwi/mimikatz |
| resocks.exe | 一个SOCKS5反代隧道工具,用于访问无法直连的资源 |
| r.exe | 反代隧道工具非同名文件 |
| n.ps1 | n.txt可能的来源,是1.ps1存在的普遍名称(n为某值) |
| advanced_ip_scanner.exe | 网络发现工具 |
| 7z2403-x64.exe | 7-zip安装包 |
涉及IP/域名
| IP/域名 | 描述 |
|---|---|
| 89.208.107.158 | 曾用过的建立RDS链接的IP地址,来自服务商aeza.net |
| hxxp://bashupload.com/BNd9S/r.exe -o r.exe | r.exe入口路由 |
