【安全资讯】揭示RansomHub勒索软件:新感染链与日益增长的威胁

安恒恒脑 2024-07-31 19:10:57 201人浏览

概要:

网络安全研究人员Lab52发布警告,指出RansomHub勒索软件团伙的威胁日益增加。该团伙使用新旧结合的战术,包括高级端口扫描和隐藏的PowerShell脚本,来入侵系统。RansomHub勒索软件与Knight勒索软件有关,表明存在更大的网络犯罪网络。

主要内容:

Lab52最近分析了两种RansomHub勒索软件样本,揭示了其独特的特征和部署方法。Sample1.exe以关闭虚拟机为默认行为,这一功能无法禁用。而Sample2.exe则在2024年6月被观察到,增加了“快速加密模式”,为攻击者提供了更多灵活性。两种样本都需要密码才能执行,并采用复杂的混淆方法来逃避静态分析。

RansomHub勒索软件使用开源混淆器Garble开发,删除模块名称并用随机字符串替换,增加了分析难度。尽管工具如GoReSym和OALabs的解密脚本可以帮助解密部分数据,但由于优化功能,并非所有字符串都能被解密。Sample1.exe的部署策略包括使用高级端口扫描和ScreenConnect工具识别感染设备,而Sample2.exe则使用混淆的PowerShell脚本,增加了检测和分析的复杂性。

RansomHub作为一种勒索软件即服务(RaaS)团伙,其代码与Knight勒索软件有关联。2024年6月,RansomHub成为全球最具影响力的勒索软件团伙之一,尤其在拉丁美洲和欧洲表现突出。拉丁美洲在2024年第一季度排名第二,而在欧洲,RansomHub在6月达到第四位,并记录了当月已知受害者的最高数量。
勒索软件 恶意代码 数字货币 IT行业
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。