RansomHub 攻击者在最近的勒索软件攻击中利用 ZeroLogon 漏洞

在最近不断增长的 RansomHub 勒索软件的攻击中，攻击者利用了 2020 年 Windows Netlogon 远程协议中所谓的 ZeroLogon 漏洞 ( CVE-2020-1472 ) 来获取对受害者环境的初始访问权限。
赛门铁克博通的研究人员在本周的一份报告中表示，在部署勒索软件之前，攻击者已经使用了多种双重用途工具，包括 Atera 和 Splashtop 等公司的远程访问产品以及 NetScan 等公司的网络扫描器。
赛门铁克表示：“Atera 和 Splashtop 用于实现远程访问，而 NetScan 则用于发现和检索有关网络设备的信息。RansomHub 负载利用 iisreset.exe 和 iisrstas.exe 命令行工具来停止所有 Internet 信息服务 (IIS) 服务。”
Critical Start 高级威胁检测工程师 Adam Neel 表示， ZeroLogon涉及特权升级情况，当攻击者使用 Netlogon 远程协议与域控制器建立易受攻击的 Netlogon 安全通道连接时，就会发生这种情况。“对于组织来说，确保修补和缓解此漏洞以帮助防范来自 RansomHub 的攻击非常重要。”

机会主义威胁行为者
RansomHub 是一种勒索软件即服务 (RaaS) 操作和恶意软件威胁，自 2 月首次出现以来就引起了广泛关注。赛门铁克目前将其列为受害者数量排名第四的勒索软件，仅次于最近被关闭的Lockbit 、Play 和 Qilin。
BlackFog 是跟踪该威胁的多家安全供应商之一，它列出了RansomHub 运营几个月来遭受攻击的50 多家组织。其中许多似乎是中小型企业，但也有一些知名企业，最著名的是佳士得拍卖行和联合健康集团子公司 Change Healthcare。
赛门铁克威胁猎手团队首席情报分析师迪克·奥布莱恩 (Dick O’Brien) 表示，该组织在过去三个月内公开宣称有 61 名受害者。相比之下，Lockbit 有 489 名受害者，Play 组织有 101 名，而麒麟组织有 92 名。
RansomHub 是最近执法部门取缔勒索软件巨头 Lockbit 和ALPHV/BlackCat后出现的一小群 RaaS 运营商之一。该组织试图利用取缔行动造成的一些不确定性和不信任，试图吸引新的关联公司加入其 RaaS。其策略之一是让关联公司直接从受害者那里收取赎金，然后向 RansomHub 支付 10% 的提成。这与通常的模式非常不同，在通常的模式中，RaaS 运营商从受害者那里收取赎金，然后向关联公司支付提成。

与 Knight 勒索软件存在大量代码重叠
赛门铁克称，RansomHub 和较老的、现已不复存在的勒索软件 Knight 之间存在多处代码重叠。代码重叠如此之多，以至于很难区分这两种威胁。两种有效载荷均采用 Go 编程语言编写，并使用相同的混淆器 Gobfuscate。两者的帮助菜单几乎相同；它们以完全相同的方式对重要代码字符串进行编码并在运行时对其进行解码；它们可以在加密之前以安全模式重新启动目标端点，并具有相同的命令执行流程。赛门铁克表示，甚至与 Knight 和 RansomHub 相关的赎金说明也几乎相同，Knight 的许多短语在 RansomHub 中一字不差地出现。
“[然而]，尽管起源相同，但 Knight 的创建者现在不太可能运营 RansomHub，”赛门铁克表示。相反，RansomHub 运营商在今年早些时候 Knight 的运营商将其出售时购买了 Knight 源代码，现在只是在重复使用它，该安全供应商表示。“这两个勒索软件系列之间的主要区别之一是通过 cmd.exe 运行的命令，”安全供应商指出。“这些命令可以在构建有效载荷时或配置期间配置。”
赛门铁克发现 RansomHub 基于 Knight 代码，这不太可能对受害者或该组织所针对的其他人员产生太大影响。但它确实为该组织及其 TTP 提供了额外的信息。
Neel 表示：“该组织发展迅速，有望成为 2024 年最活跃的勒索软件组织之一。”“值得注意的是，由于他们最近的成功和恶名，他们已经能够招募 Blackcat/ALPHV 勒索软件组织的旧成员。这使他们能够利用该组织使用的知识和工具进一步增强他们的能力，”他指出。