【安全资讯】揭示RansomHub勒索软件:新感染链与日益增长的威胁
概要:
网络安全研究人员Lab52发布警告,指出RansomHub勒索软件团伙的威胁日益增加。该团伙使用新旧结合的战术,包括高级端口扫描和隐藏的PowerShell脚本,来入侵系统。RansomHub勒索软件与Knight勒索软件有关,表明存在更大的网络犯罪网络。主要内容:
Lab52最近分析了两种RansomHub勒索软件样本,揭示了其独特的特征和部署方法。Sample1.exe以关闭虚拟机为默认行为,这一功能无法禁用。而Sample2.exe则在2024年6月被观察到,增加了“快速加密模式”,为攻击者提供了更多灵活性。两种样本都需要密码才能执行,并采用复杂的混淆方法来逃避静态分析。RansomHub勒索软件使用开源混淆器Garble开发,删除模块名称并用随机字符串替换,增加了分析难度。尽管工具如GoReSym和OALabs的解密脚本可以帮助解密部分数据,但由于优化功能,并非所有字符串都能被解密。Sample1.exe的部署策略包括使用高级端口扫描和ScreenConnect工具识别感染设备,而Sample2.exe则使用混淆的PowerShell脚本,增加了检测和分析的复杂性。
RansomHub作为一种勒索软件即服务(RaaS)团伙,其代码与Knight勒索软件有关联。2024年6月,RansomHub成为全球最具影响力的勒索软件团伙之一,尤其在拉丁美洲和欧洲表现突出。拉丁美洲在2024年第一季度排名第二,而在欧洲,RansomHub在6月达到第四位,并记录了当月已知受害者的最高数量。
相关链接
https://securityonline.info/unveiling-ransomhub-ransomware-new-infection-chains-and-rising-threats/
0条评论
看了这么久,请
登录
,对他说点啥~
0
0
分享
微信扫一扫分享