勒索攻擊的新起之秀: RansomHub
RansomHub是於2024年2月崛起的勒索軟體組織,運作於勒索軟體即服務 (RaaS) 模型下,以進行網路攻擊的勒索軟體組織。近期更被發現能攻擊EDR安全軟體,透過自帶驅動程式手法來停用受感染端點主機上的EDR資安防護,成為現今最為難應付的攻擊!
根據Check Point 統計,截至6月份為止,短短五個月內已有近80名家受駭組織。其攻擊影響遍及全球,包括美國佛羅里達衛生部、英國藝術品拍賣行佳士得(Christie's)、美國電信巨頭Frontier、西班牙生物能源工廠 Matadero de Gijón 以及台灣的藍天電腦等。根據Recorded Future 調查統計,IT行業是RansumHub最常攻擊的目標。儘管RansomHub經營時間短,其強大的反追蹤能力和隱匿技術使其在上半年各大資安公司的勒索軟體組織榜單上名列前茅。在2024年5月的CC Group Monthly Threat Pulse報告中,RansomHub被列為第三大勒索軟體威脅。賽門鐵克的統計資料亦顯示RansomHub在今年3月至5月已成為全球第四大勒索軟體威脅。Check Point 6月份報告,則顯示RanHub已超越遭受打擊的LockBit3.0,成為最受影響的勒索組織。RansomHub 的迅速崛起和廣泛影響力,使其成為當前企業必須嚴加防範的網路安全威脅。
從 Knight 脫胎換骨的RansomHub
Knight (又稱Cyclops 2.0)於2023年5月開始勒索軟體即服務(RaaS)行動,橫跨多個平台運行,包括 Windows、Linux、macOS和 Android等。主要透過網路釣魚和魚叉式網路釣魚活動傳播,像是偽裝成來自TripAdvisor的訊息進行釣魚攻擊。Kinight2024年2月Knight集團關閉其據點,並將勒索軟體3.0版本的原始碼在駭客論壇上出售,同月RansomHub發佈了第一個受駭組織。
根據多個網路安全報告與分析,RansomHub的代碼與已停止活動的勒索組織Kinight,有很高的相似度,這代表 RansomHub 的運作模式、技術手段和攻擊策略在很大程度上繼承了 Knight 勒索軟體組織的特徵。進化後的RansomHub攻擊性更加全面且具有威脅性。 除了加強加密算法,使其加密的數據更難以破解,增加受害者支付贖金的可能性。更會在攻擊成功後,公開威脅洩露受駭者的機敏資訊,增加了受害者支付贖金的壓力。例如佳士得在遭受攻擊後,RansomHub隨即威脅公開所竊50萬筆個資,假如個資最終外洩,佳士得將違反歐盟GDPR條款,面臨高達2000萬美元的巨額罰款。
吸收再進化
RansomHub能迅速茁壯,不僅因為其繼承了Knight的技術和策略,也有吸收了經驗豐富的犯罪分子的因素。RansomHub 提供高達 90% 的佣金,吸引了許多經驗豐富的附屬組織,包括已遭瓦解的勒索組織ALPHV/BlackCat的附屬組織Scattered Spider(也稱為Octo Tempest、Oktapus等)等成員紛紛加入RansomHub,使RansomHub在技術和戰術上更加精進,導致 RansomHub 相關事件激增,並迅速成為主要的勒索軟體威脅之一。
近期研究發現,RansumHub針對VMWare虛擬化環境的勒索軟體版本,除了有一般針對虛擬化環境的攻擊手法,如刪除快照、強制虛擬機關機外,還具備:
指定加密部分虛擬機:使受駭單位難以確認受感染範圍,未被加密的虛擬機可能會被誤以為安全,但實際上存在威脅。
加密後自我刪除:自我刪除檔案將使調查人員難以收集與分析惡意軟體樣本,使事後調查和攻擊手法、路徑分析變得更加困難。缺乏樣本分析也導致難以追蹤和檢測攻擊,提高了未來攻擊成功的可能性。
抹除作案的蹤跡:透過停用ESXi系統事件紀錄,讓安全團隊將難以藉由事件記錄發現異常行為或入侵痕跡,加大偵測和應對的難度與風險。而缺乏事件記錄將使調查攻擊軌跡、評估影響範圍與程度變得困難。
RansomHub攻擊手法 3個階段
第一階段:初始入侵
漏洞利用:
Microsoft Netlogon 遠端協定的重大漏洞 ZeroLogon(CVE-2020-1472,CVSS 3.0高達10.0)是 RansomHub 主要利用方式,多起攻擊事件(如Christie's和American Clinical Solutions)皆是利用此漏洞達成。該漏洞允許攻擊者繞過身份驗證並取得管理者權限,一旦成功利用,攻擊者可以控制Active Directory 網域,並執行各種惡意活動,例如竊取機敏資訊和遠端執行任意代碼,為後續攻擊活動建立立足點。由於此漏洞能讓攻擊者輕易控制整個網域,因此一經揭露,就遭多個勒索軟體組織與APT組織利用。2020年美國網路安全暨基礎架構安全署(CISA)暨聯邦調查局(FBI)曾觀測到不同APT組織利用ZeroLogon與多個網通產品的舊漏洞發動入侵攻擊。
合法憑證
透過存取掮客(Initial Access Brokers, IBA )購買合法憑證。IBA是指利用各種手段(如社交工程、暴力破解等)取得企業內網存取憑證的駭客。在取得憑證後,IBA會將竊取來的憑證出售或出租給其他犯罪組織。這種分工合作模式使得網路犯罪活動更加高效和專業化。5月份西班牙生物能源工廠 Matadero de Gijón 資安事件,即為RansumHub使用在俄羅斯論壇上透過IBA取得的合法憑證進行入侵攻擊。
錯誤配置:
除了漏洞利用與購買憑證外,資安研究人員也曾觀測到RansomHub利用錯誤配置的Amazon S3進行攻擊,存取了受駭組織的雲端備份,以及使用相同備份提供商的其他客戶的備份。
第二階段:潛伏控制
成功入侵後,RansomHub利用多種合法工具進行潛伏、探測與控制,以及企圖利用帶有漏洞的驅動程式將防護工具關閉。RansomHub利用合法的IT與遠端管理工具Atera 和 Spalshtop進行遠端存取與橫向移動,開源反向代理工具Ngrok則是用來與目標系統建立加密通道,以便能從外網安全地存取目標系統。RansumHub除了利用NetScan進行內網探測,以便發現更多高價值目標與資源外,也會安裝滲透測試與攻擊常見的 Impacket 工具包,增加對目標系統的控制能力。Impacket 的工具包包含許多強大的模塊,像是psexec.py用於遠端代碼執行,wmiexec.py 用於使用 WMI 進行橫向移動,secretsdump.py則 用於提取密碼hash值。在目標確認後,RansumHub使用 cURL進行資料交換,以將竊取的機敏數據傳送到攻擊者控制的伺服器,並準備最終的攻擊階段,如勒索加密攻擊。
第三階段:實現攻擊
為了確保勒索軟體能成功部署,不會被及時發現或中斷,RansomHub利用Microsoft 內建工具iisreset.exe 和 iisrstas.exe 工具來停止所有網際網路資訊服務(Internet Information Services,IIS)服務,增加系統停機時間,以掩蓋其惡意活動並減少被偵測的風險。此外,RansomHub 在加密開始前,會將受感染設備重啟至安全模式。由於安全模式下僅加載基本的系統驅動和服務,大多數第三方應用程式和安全軟體不會啟動,使得勒索軟體能繞過這些防護,提高了攻擊成功率和破壞力。
面對新興威脅RansomHub,該如何應對呢?
為了最大程度降低攻擊者入侵的機會、降低資安風險並減少損害,企業應實施完善的事前預防措施,從而避免勒索軟體實現攻擊。萬一受到侵駭,也應確保能夠能安全復原並強化後續防護。企業應依據以下事前事中事後三個階段目標,來建立全面的安全策略。以下依據個階段提出建議:
事前:降低受駭可能性與建立組織韌性
儘早完成漏洞修補:
修補系統漏洞是預防 RansomHub 這類攻擊的關鍵步驟之一。及時更新並修補已知的安全漏洞,切勿拖延或是忽略漏洞修補。確保所有系統和服務處於最新的安全狀態,可以降低被勒索軟體入侵的可能性。
定期安全備份:
除了實施健全的備份策略『備份321原則』外,應確保備份的安全性與有效性,以防止未授權訪問或篡改,以便在遭遇勒索軟體攻擊後,能藉由備份資料迅速恢復營運,從而將營運中斷的風險降至最低。
應用服務存取控制與定期檢視:
各種合法工具的利用已是勒索軟體組織的常見手段,因此企業組織應定期進行資產盤點、移除不必要的軟體或是實施應用服務控制策略,以防止未經授權的軟體和工具,尤其是 IT 管理工具和 IT 人員常用的遠端管理工具,更需要嚴格控制和監管,這有助於減少潛在的安全風險。企業也可以直接封鎖與 ngrok 相關的網域,避免內網設備與ngrok 伺服器建立連接。
帳號存取控制與安全管理:
實施最小權限原則,確保只有授權人員才能存取機敏資訊,同時限制攻擊者在獲得帳號後的行動範圍,防止其進行橫向移動或執行高權限操作。通過實施強密碼策略與多因素認證來提高帳號的安全性,避免密碼遭到輕易破解,並且即使憑證被竊取,攻擊者也難以利用它來存取系統。定期盤點帳號,確保不存在未經授權的帳號,並及時停用或刪除不再需要的帳號,以降低攻擊者利用過期或不必要帳號進行攻擊的可能性。
網路微分段:
透過硬體或軟體方式將組織網路劃分為較小的區塊,有助於防止橫向移動,確保即使某一區段被入侵,攻擊也不會輕易擴散到其他區域。每個分區也能根據其特定需求制定相應的網路安全管理策略,或採取更精細的控制措施,以提高整體安全性,並避免對整個組織網路施加過度限制。在維持網路安全的同時,這樣的做法亦能保持營運的靈活性與效率。
實施端點監控與告警分析:
7*24小時監控異常行為,例如可疑的遠端連線、未經授權的應用服務以及探測行為。對於關鍵伺服器和個人端點設備,部署防護方案並採取主動防禦措施,當偵測到異常行為時,相關人員能立即中斷活動,將威脅遏制在早期階段,防止對企業造成更大的損害。
擬定應變計畫與演練:
應變計畫應包括系統服務備援機制、通報計畫,以及資料外洩的應對措施,並定期進行模擬演練,以確保計畫的有效性,提升應對和復原能力。
事中:最大程度降低受影響範圍與衝擊性
隔離受感染設備:
盡可能隔離受感染設備或是將可能受影響的設備進行預防性隔離,以便感染擴散,保護其他未受感染的系統和資產。企業也可導入具備遠端隔離或緩解措施的端點解決方案,透過集中式管理快速執行必要的防護行動。
盤點受影響範圍:
識別受影響的設備、系統、應用服務以及資料,如客戶與供應商資料、原始碼、帳號密碼等機敏信息,以便全面了解和評估攻擊事件對系統與業務運營的實際影響。根據盤點結果通知利害關係人,幫助企業維持和增強信任,減少潛在的風險和負面影響。
保全現場證據:
避免對證據進行不必要的變動,以便後續的調查、分析和取證。然而,有些企業為了減少營運損失,直接重置或復原設備,這樣做可能導致證據被破壞或丟失,影響事件根因的查明和安全措施的改進,企業可能因同樣的問題再度遭受攻擊。
啟動備援機制:
企業可在確認備援設備已與感染設備/網路隔離,以及證據保存無誤的的情況下,啟動服務備援機制或是使用備份檔案,以恢復關鍵業務,最小化對業務中斷的影響,減少營運損失。
事後:強化安全防護能力
確保安全復原:
『備份復原是企業的最後一道防線』,因此應確保還原時檔案的安全性,確保在恢復過程中,備份資料的完整性不受影響。此外,應避免恢復包含已知病毒或漏洞的備份版本,以防止二次傷害並確保系統安全地恢復到正常狀態。
事件調查與強化安全政策:
對事件進行詳細調查,確認攻擊者的行為軌跡,找出事件發生的根因與觸發點。透過事件分析,也能識別出系統、流程或安全策略中的脆弱環節,這些可能成為未來被攻擊者利用的入口。另外。也可根據事件分析的結果,適當調整安全政策,並將這些改進融入員工的安全意識培訓課程中。透過實際案例,讓員工更深刻地理解安全政策的重要性。
確保網路環境的安全性:
重置密碼等權限憑證,避免遭竊取的帳密再度被駭客利用。檢查所有安全配置、修補漏洞以及使用防毒軟體掃描所有設備確保網路環境安全性。
WiZON CSR+ 協助事前、事中、事後三階段的全程安全
儘管全球範圍內對勒索軟體組織的打擊力度不斷加大,但龐大的利益驅使這些組織不斷融合、重組或演變,像RansomHub這類吸納附庸犯罪組織的案例層出不窮。面對各式新興駭客組織,單一的安全防護措施是不夠的。
WIZON CSR+是一套整合識別、防護、偵測、響應以及安全復原五大機制,是一套在事前、事中、事後三個階段都能提供幫助的端點防護解決方案。All-in-one方案除了有資產管理、漏洞識別與版本管控,更具備『安全備份機制』與『安全彈性復原機制』,不僅能確保系統安全與協助證據保存,並快速恢復關鍵服務,減少因安全事件引發的業務中斷時間和潛在損失。WIZON的一站式資安服務方案,整合專家支援進行告警分析與提供應對建議,協助企業迅速識別並處理潛在威脅。企業也能專注於其核心業務,而不必分散精力在複雜的安全管理上。這有助於提高業務效率和競爭力。
Comments