2024 年，RansomHub在 ALPHV和 LockBit两大勒索软件组织活动中断后，成为了主要的勒索软件威胁，目标指向 600 多家机构。国际网络安全公司 Group-IB 揭示了其在网络犯罪领域的迅速崛起。

Group-IB 最新的研究成果独家分享给了Hackread.com，该研究强调了勒索软件即服务（RaaS）运营的突然兴起，其中有一个组织在这一领域非常活跃，它就是 RansomHub。RansomHub于 2024 年初出现，利用 ALPHV和 LockBit等其他知名勒索软件组织活动中断的机会，迅速发展成为了该领域的主要参与者。

Group-IB 的调查显示，RansomHub”在诸如 RAMP 论坛等地下论坛上，策略性地宣传其合作项目，积极招募那些来自已解散的勒索软件组织的成员，这有助于他们迅速扩大影响力和攻击范围。

进一步的调查表明，RansomHub 很可能从 Knight 组织（又名 Cyclops）那里获取了其勒索软件和Web应用程序的源代码，这表明了网络犯罪世界中各组织之间相互关联的本质。通过利用现有的资源，RansomHub加快了其开发和部署的速度，迅速成为了一个重大威胁。他们的勒索软件是为跨平台兼容性而设计的，目标涵盖了各种操作系统和架构，包括 Windows、ESXi、Linux 和 FreeBSD。这种多功能性使他们能够最大限度地扩大潜在的攻击目标范围。

RansomHub 的运营手段极为复杂精细。他们运用先进的技术，比如利用零日漏洞，并使用像 PCHunter 这样的工具来绕过终端安全解决方案。他们能够迅速将新发现的漏洞武器化，这一适应能力常常让防御者来不及给系统打补丁。他们还熟练运用传统的攻击方法，比如在必要时对虚拟专用网络（VPN）服务进行暴力破解攻击。在完成初步的侦察并利用漏洞进入目标网络后，他们会在被入侵的网络中建立持久的控制权限，然后进行内部侦察，识别并锁定像网络附加存储（NAS）和备份系统等关键资产。数据窃取是他们的一个关键目标，他们会使用像 Filezilla 这样的工具，将敏感信息传输到外部的命令与控制服务器上。

RansomHub 攻击的最后阶段通常包括数据加密和敲诈勒索。他们会禁用备份服务，并部署勒索软件使数据无法访问，从而有效地使受害组织陷入瘫痪。其勒索软件本身具备先进的功能，包括能够终止虚拟机、删除卷影副本以及清除系统事件日志。这种全面的攻击方式旨在最大限度地扩大攻击的影响，并增加受害者支付赎金的可能性。

Group-IB 称：RansomHub已经攻击了全球 600 多家机构，涉及医疗保健、金融、政府和关键基础设施等多个领域，这使其稳稳地成为了 2024 年最活跃的勒索软件组织。

（来自：安全客）