据观察，RansomHub勒索软件即服务（RaaS）计划背后的威胁行为者，正在利用其已修补的Microsoft Active Directory和Netlogon协议中的安全漏洞，以提升权限并获得对受害网络域控制器的未授权访问，作为其妥协后的策略之一。

　　“RansomHub已针对全球600多家机构发起攻击，涵盖医疗、金融、政府和关键基础设施等领域，稳居2024年最活跃的勒索软件组织之列，”Group-IB分析师在本周发布的一份详尽报告中表示。

　　该勒索软件组织于2024年2月首次出现手机vpn谷歌搜索，从RAMP网络犯罪论坛获取了已解散的Knight（前身为Cyclops）RaaS团伙的源代码，以加速其运营。大约五个月后，该勒索软件的更新版本在非法市场上进行宣传，具备通过SFTP协议远程加密数据的功能。它有多种变体，能够加密Windows、VMware ESXi和SFTP服务器上的文件。

　　据观察，RansomHub还在积极招募LockBit和BlackCat组织的附属成员，作为其合作伙伴计划的一部分，这表明它试图利用执法部门针对竞争对手的行动来获利。在新加坡网络安全公司分析的一起事件中，据说威胁行为者曾试图利用一个公开的概念验证（PoC）来利用影响Palo Alto Networks PAN-OS设备（CVE-2024-3400）的一个严重漏洞，但未能成功，最终通过针对VPN服务的暴力破解攻击突破了受害网络。

　　“此次暴力破解尝试基于一个包含5000多个用户名和密码的丰富字典，”研究人员表示，“攻击者最终通过数据备份解决方案中常用的默认账户获得了访问权限，并成功突破了边界。”

　　获得初步访问权限后，便利用该权限进行勒索软件攻击，在妥协后的24小时内完成了数据加密和数据泄露。

　　特别是，它利用了Active Directory（CVE-2021-42278，又称noPac）和Netlogon协议（CVE-2020-1472，又称ZeroLogon）中已知的两个安全漏洞，以夺取对域控制器的控制权，并在网络中横向移动。“利用上述漏洞使攻击者获得了对域控制器的完全特权访问权限，这是基于Microsoft Windows的基础设施的神经中枢，”研究人员表示。

　　“在数据泄露操作完成后，攻击者为攻击的最后阶段做了准备。攻击者操作使得保存在各种网络附加存储（NAS）上的所有公司数据完全无法读取、无法访问且无法恢复，目的是迫使受害者支付赎金以找回数据。”

　　此次攻击的另一个显著特点是使用了PCHunter来停止和绕过端点安全解决方案，以及使用Filezilla进行数据泄露。

　　“RansomHub组织的起源、其进攻行动以及它与其他组织的重叠特征证实了网络犯罪生态系统的存在，”研究人员表示。

　　“这个环境依赖于工具、源代码的共享、重用和重新品牌化，从而推动了一个强大的地下市场的发展，其中知名受害者、臭名昭著的组织和巨额资金发挥着核心作用。”这一发展态势是在网络安全公司详细披露了一个名为Lynx的“强大RaaS运营商”的内部运作机制后出现的，揭示了其附属成员的工作流程、其针对Windows、Linux和ESXi环境的跨平台勒索软件武器库以及可定制的加密模式。

　　对勒索软件的Windows和Linux版本的分析显示，它与INC勒索软件非常相似，这表明威胁行为者可能获取了后者的源代码。

　　“附属成员可获得赎金收益的80%，这体现了其竞争性和以招聘为导向的策略，”报告称，“Lynx最近增加了多种加密模式：‘快速’、‘中等’、‘缓慢’和‘全部’，使附属成员可以自由选择文件加密的速度和深度之间的权衡。”

　　“该组织在地下论坛上的招聘帖子强调了对渗透测试人员和熟练入侵团队的严格验证过程，凸显了Lynx对运营安全和质量控制的重视。他们还为持续带来可观收益的附属成员提供‘呼叫中心’来骚扰受害者，并提供先进的存储解决方案。”近几周来，还观察到使用通过钓鱼邮件传播的Phorpiex（又称Trik）僵尸网络恶意软件发起的以金钱为目的的攻击，以传播LockBit勒索软件。

　　“与以往的LockBit勒索软件事件不同，此次威胁行为者依赖Phorpiex来交付和执行LockBit勒索软件，”Cybereason在分析中指出，“这种技术很独特，因为勒索软件的部署通常由人工操作员执行攻击。”

　　另一个重要的初始感染途径是利用未打补丁的VPN设备（例如CVE-2021-20038）来获取对内部网络设备和主机的访问权限，并最终部署Abyss Locker勒索软件。这些攻击的特点还在于使用隧道工具来维持持久性，以及利用自带漏洞驱动程序（BYOVD）技术来禁用端点保护控制。

　　“在获得访问权限并进行侦察后，这些隧道工具被战略性地部署在关键网络设备上，包括ESXi主机、Windows主机、VPN设备和网络附加存储（NAS）设备，”Sygnia研究人员表示。

　　“通过针对这些设备，攻击者确保了强大且可靠的通信渠道，以维持访问权限并在受攻击的网络中协调其恶意活动。”

　　由新老威胁行为者主导的勒索软件格局仍处于不断变化之中，攻击手段从传统加密转向数据盗窃和勒索，尽管受害者越来越拒绝支付赎金，导致2024年赎金支付额下降。

　　“像RansomHub和Akira这样的组织现在通过巨额奖励来激励窃取数据，使这些战术相当有利可图，”网络安全公司Huntress表示。