Ransomhub
该组织于 2024 年 2 月中旬出现,采用勒索软件即服务(RaaS)模式运营,截至2024年10月14日,该组织所使用的信息发布站点共有392名受害者信息,实际受害者数量会更多,这些受害者涉及水和废水、信息技术、政府服务和设施、医疗保健和公共卫生、紧急服务、食品和农业、金融服务、商业设施、关键制造、运输和通信关键基础设施部门。 同时,Ransomhub疑似是 Knight 勒索软件的更名,Knight(又名 Cyclops 2.0)勒索软件于 2023 年 5 月首次问世,采用双重勒索策略来窃取和加密受害者的数据以获取经济利益。它可以在多个平台上运行,包括Windows、Linux、macOS、ESXi 和 Android。
值得注意的是,在它的官网上有一份声明,上面写着: 我们的团队成员来自不同的国家,我们对其他东西不感兴趣,我们只对美元感兴趣。 我们不允许独联体、古巴、朝鲜和中国成为攻击目标。 已经付款的目标公司不允许再次攻击。 我们不允许非营利医院和一些非营利组织成为目标。
首次出现时间:
2024-2
攻击方法:
1)初始访问
RansomHub 附属公司通常使用网络钓鱼电子邮件、利用已知漏洞 和密码等方法破坏面向 Internet 的系统和用户端点喷涂 。密码喷洒针对因数据泄露而受损的帐户。概念验证漏洞从 ExploitDB 和 GitHub 等来源获得。
2)权限提升和横向移动
在初始访问之后,RansomHub 附属公司创建了用于持久性的用户帐户,重新启用了已禁用的帐户 ,并使用了 Mimikatz 以收集凭据 并将权限升级到系统.然后,附属公司通过远程桌面协议 (RDP) 、PsExec、Anydesk 、Connectwise、N-Able、Cobalt Strike 、Metasploit 或其他广泛使用的命令和控制 (C2) 方法。
3)数据泄露
数据泄露方法在很大程度上取决于进行网络入侵的附属公司。勒索软件二进制文件通常不包含任何数据泄露机制。通过使用 PuTTY 、Amazon AWS S3 存储桶/工具 、HTTP POST 请求 、WinSCP、Rclone、Cobalt Strike、Metasploit 和其他方法。
勒索地址:
平台一、自建暗网网站
泄漏数据页:
- 地址:http://ransomxifxwc5exxxxxxxxxxxxxxxfu2emfbecgbqdw6qd.onion/
- 界面:
- 解释:ransomhub勒索的公司所泄露的信息都在这个页面上,同时还显示了正在被勒索的公司的倒计时
受害者沟通页:
- 地址:http://ujdqg76bqwmwkxxxxxxxxxxxxxxxxxxxxxxxxguywl5xyd.onion/
- 界面:
- 解释:这个是受害者的沟通页面,付款之后就显示可以下载解密工具了 左下角
平台二、常见邮箱
| 常见邮箱 |
|---|
| brahma2023@onionmail.org |
| victim_organization_name@protonmail.com |
捕获分析:
RansomHub 勒索软件通常利用一种称为 Curve 25519 的椭圆曲线加密算法来加密系统上的用户可访问文件 。Curve 25519 使用每个受害者组织唯一的公钥/私钥。为了成功加密当前正在使用的文件,勒索软件二进制文件通常会尝试停止以下进程:
- “vmms.exe”
- “msaccess.exe”
- “mspub.exe”
- “svchost.exe”
- “vmcompute.exe”
- “notepad.exe”
- “ocautoupds.exe”
- “ocomm.exe”
- “ocssd.exe”
- “oracle.exe”
- “onenote.exe”
- “outlook.exe”
- “powerpnt.exe”
- “explorer.exe”
- “sql.exe”
- “steam.exe”
- “synctime.exe”
- “vmwp.exe”
- “thebat.exe”
- “thunderbird.exe”
- “visio.exe”
- “winword.exe”
- “wordpad.exe”
- “xfssvccon.exe”
- “TeamViewer.exe”
- “agntsvc.exe”
- “dbsnmp.exe”
- “dbeng50.exe”
- “encsvc.exe”
勒索软件二进制文件将尝试加密用户有权访问的任何文件,包括用户文件和网络共享。
RansomHub 实施间歇性加密,以 0x100000 字节块加密文件,并在加密块之间跳过每 0x200000 字节的数据。小于 0x100000 字节的文件将被完全加密。文件末尾附加了 58 (0x3A) 字节的数据。此数据包含一个值,该值可能是加密/解密密钥的一部分。下面列出了附加的 0x3A 字节的结构,其中包含来自三个不同加密文件的图像。
图 1:前 8 个字节是加密文件的大小。
接下来的 8 个字节是加密块的大小。如果整个文件已加密,则此部分全为零。在此示例中,每个加密段的长度为 0x100000 字节,每个加密块之间有 0x100000 字节。观察到此数字根据加密文件的大小而变化。
图 2:加密块的大小。
接下来的两个字节始终被视为0x0001。
图 3:接下来的两个字节始终是 0x0001。
接下来的 32 个字节是文件的公有加密密钥。
图 4:文件的公有加密密钥。
接下来的四个字节是校验和值。
图 5:校验和值。
最后四个字节始终被视为序列0x00ABCDEF。
图 6:最后四个字节。
勒索软件可执行文件通常不会加密可执行文件。文件名中添加了一个随机的文件扩展名,并在受感染的系统上留下了通常标题为赎金的赎金票据。为了进一步抑制系统恢复,勒索软件可执行文件通常会利用该程序删除卷影副本 How To Restore Your Files.txtvssadmin.exe
加密算法:
使用基于 x25519 的非对称算法,以及加密算法 AES256、ChaCha20 和 xChaCha20,以其速度而著称。使用 AST 对加密进行混淆处理。
加密钱包:
暂无信息
受害者勒索金额:
| 受害者 | 时间(最近几起) |
|---|---|
| Confidence Group | 2024-10-14 06:07 |
| saizeriya(萨莉亚) | 2024-10-12 22:10 |
| medicato | 2024-10-12 22:07 |
| NextStage.AI | 2024-10-12 13:49 |
| PracticeSuite | 2024-10-11 14:40 |
谈判记录:
变种演化:
RansomHub 是一种勒索软件即服务变体(以前称为 Cyclops 和 Knight),它已成为一种高效且成功的服务模型(最近吸引了来自 LockBit 和 ALPHV 等其他知名变体的知名附属公司)。 Knight(又名 Cyclops 2.0)勒索软件于 2023 年 5 月首次问世,采用双重勒索策略来窃取和加密受害者的数据以获取经济利益。它可以在多个平台上运行,包括 Windows、Linux、macOS、ESXi 和 Android。
IOC 信息
| 类型 | 详情 | 描述 |
|---|---|---|
| IP | 8.211.2.97 | |
| IP | 45.95.67.41 | |
| IP | 45.134.140.69 | |
| IP | 45.135.232.2 | |
| IP | 89.23.96.203 | |
| IP | 188.34.188.7 | |
| IP | 193.106.175.107 | |
| IP | 193.124.125.78 | |
| IP | 193.233.254.21 | |
| 目录结构 TTP | C:\Users%USERNAME%\AppData\Local\Programs\Python\Python311\Scripts\crackmapexec.exe | CrackMapExec |
| 目录结构 TTP | C:\Users%USERNAME%\AppData\Local\Programs\Python\Python311\Scripts\kerbrute.exe | Kerberoasting |
| 目录结构 TTP | C:\Users%USERNAME%\Downloads\Anydesk.exe | Anydesk C2 |
| 目录结构 TTP | C:\Users%USERNAME%\Desktop\IamBatMan.exe | 勒索软件 |
| 目录结构 TTP | C:\Users\backupexec\Desktop\stealer_cli_v2.exe | 信息窃取者 |
| 目录结构 TTP | C:\Users%USERNAME%\Downloads\nmap-7.94-setup.exe | Nmap |
| 目录结构 TTP | C:\Program Files (x86)\Nmap\nmap.exe | Nmap |
| 目录结构 TTP | C:\Users%USERNAME%\Downloads\mimikatz_trunk\x64\mimikatz.exe | Mimikatz |
| 目录结构 TTP | C:\Users\backupexec\Downloads\x64\mimikatz.exe | Mimikatz |
18363040868
