Ransom Hub - 竣盟科技

RansomHub 再進化：全面攻擊 Windows、ESXi、Linux 與 FreeBSD作業系統

Posted on 2025 年 2 月 21 日2025 年 2 月 21 日 by blogadmin

RansomHub 勒索軟體集團迅速崛起，成為 2024–2025 年度最猖獗的網路犯罪組織之一。該組織透過擴展攻擊範圍，鎖定 Windows、VMware ESXi、Linux 及 FreeBSD 作業系統，發動全球性攻擊。

高度進化的攻擊手法

RansomHub 勒索軟體集團運用先進的規避技術、跨平台加密機制，並針對企業基礎架構漏洞進行攻擊。根據 Group-IB 的調查，該集團已成功入侵超過 600 家組織，涵蓋醫療、金融及關鍵基礎設施等產業。

2月16日，竣盟科技發現RansomHub勒索軟體組織聲稱對位於台北市的上市記憶體大廠發動了網路攻擊。該組織聲稱已竊取 74GB 的機密數據，並威脅如果未能滿足其要求，將於 2025 年 2 月 28 日公開這些數據。RansomHub 以雙重勒索模式著稱，除了加密受害者數據，還威脅公開洩露，以施壓企業支付贖金。該組織自 2024 年 2 月活躍以來，迅速崛起，並與 ALPHV 和 LockBit 等知名勒索軟體組織的前附屬成員合作，針對醫療、政府機構及製造業等大型企業發動攻擊，成為當前網路犯罪領域的活躍威脅。

多作業系統加密能力

RansomHub 針對不同環境開發專屬勒索軟體變種，並依平台調整指令參數與加密機制。

powershell RansomHub.exe -pass <SHA256> -fast -disable-net -skip-vm “VM1”

在執行期間，勒索軟體會解密 JSON 設定檔，其中包含白名單目錄、進程與服務終止列表，以及橫向移動所需的憑證。

ESXi 加密器 (C++ 開發)：透過 vim-cmd 指令強制關閉虛擬機，並使用 ChaCha20 與 Curve25519 演算法加密 .vmdk、.vmx 檔案。
漏洞 (防禦技巧)：在 /tmp/app.pid 中寫入 -1 可觸發無限迴圈，阻止加密。

// ESXi 加密器程式的片段:

if (access(“/tmp/app.pid”, F_OK) == 0) {

pid_t pid = read_pid();

if (kill(pid, 0) == 0) {

kill(pid, SIGKILL);

exit(0);

}

Linux 變種：使用間歇性加密技術 (1 MB 區塊)，並終止 syslog 服務以降低偵測機率。
FreeBSD 變種：識別為 Ransom.FreeBSD.INTERLOCK.THJBBBD，避開 /boot、/etc 等關鍵目錄，並將 .interlock 附加於加密檔案。

初始攻擊與漏洞利用

RansomHub 夥伴攻擊者透過已知漏洞入侵企業網路，例如：

CVE-2024-3400 (Palo Alto Networks 防火牆)
CVE-2021-42278 / CVE-2020-1472 (Active Directory 權限提升攻擊)

企業受害後的攻擊行為

攻擊者入侵後通常部署以下工具：

PCHunter：終止 EDR 進程並刪除系統日誌。
FileZilla：將竊取的數據上傳至 C2 伺服器。
BYOVD 攻擊：利用漏洞驅動程式 (POORTRY.sys) 禁用安全工具。

此外，RansomHub 透過從已關閉的 Knight 勒索軟體集團取得的勒索軟體管理面板，允許夥伴攻擊者自訂勒索訊息與資料外洩網站整合。

// 已解密的 RansomHub 設定檔片段

{

“master_public_key”: “a1b2c3…”,

“extension”: “.6706c3”,

“note_file_name”: “README.txt”,

“kill_processes”: [“MsMpEng.exe”, “TaniumCX.exe”]

}

緊急防禦建議

美國 CISA (Cybersecurity and Infrastructure Security Agency) 呼籲組織立即：

修補 CVE-2024-3400 及其他相關漏洞。
強化遠端服務存取管控，防範未授權入侵。
部署 YARA 規則偵測 RansomHub 二進位文件。
監控可疑的 PowerShell 命令，例如：

Get-CimInstance Win32_ShadowCopy | Remove-CimInstance

封鎖已知攻擊指標 (IoC)，如：
- IP 位址 10.10.10.10:22
- TOR 網址 (請參閱最新 IoC 資訊)

隨著 RansomHub 積極招募已解散的 ALPHV / LockBit 攻擊者，企業必須加強端點安全性，並確保備份資料離線隔離，以降低遭受攻擊的風險。

Ransom Hub 勒索軟體相關的部分入侵指標(Indicator of compromise -IOCs):

09e382be8dc54551cbfc60557d5a70b0

0cd4b7a48220b565eb7bd59f172ea278

19209b41db4a3d67e2c2c1962d91bd25

19ebefbb1e4cb0fc5ce21b954f52e1bc

3034b61a52ddc30eabdb96f49334453b

392880023da7df0f504056be9e58d141

477293f80461713d51a98a24023d45e8

8c8916d8ea8c44e383d55e919a9f989f

a1dd2dff2859b22bcf6a3a4d868a2dbc

台灣照明控制領域製造商遭 RansomHub 攻擊，揭示企業資安風險與挑戰

Posted on 2025 年 1 月 17 日 by blogadmin

2024年1月16日，竣盟科技在RansomHub的暗網揭密網站上發現，台灣一家知名照明控制系統製造商遭受勒索軟體集團RansomHub的攻擊。RansomHub聲稱已獲取該企業46 GB的敏感數據，並威脅將於1月24日公開這些資料，這些資料包括客戶資料、設計文件及財務資訊。此次攻擊對該企業的運營及聲譽造成了嚴重影響，凸顯了在數位轉型過程中對資安防護的迫切需求。

RansomHub 的攻擊模式與策略

RansomHub 以其高效的「雙重勒索」策略而著名：

加密數據：攻擊者鎖定企業的關鍵數據，要求高額贖金以解鎖。
洩露威脅：若受害企業拒絕支付，攻擊者將公開機密資料，增加壓力。

RansomHub 通常針對技術密集型產業進行攻擊，利用釣魚郵件、弱密碼漏洞及不當配置進行滲透，並利用橫向移動技術擴大對系統的控制。

傳統製造業的資安挑戰

此次事件暴露了傳統製造業在數位轉型過程中對資安的重視不足。儘管該企業在技術研發方面領先市場，但其資安防護能力顯然未能應對日益複雜的網路威脅。

應對RansomHub攻擊的策略建議

建議企業採取以下策略來加強防禦：

強化員工教育與終端防護
定期進行資安培訓，幫助員工識別釣魚攻擊和社交工程手段，並部署端點偵測與回應工具（EDR），即時偵測並回應可疑活動。
採用零信任架構（Zero Trust Architecture）
實現強化的身份驗證和最低權限訪問原則，確保即便攻擊者成功滲透系統，也無法在內部橫向移動，擴大對其他資源的控制。
資料加密與離線備份策略
對所有敏感資料進行強加密，並確保備份系統與主網隔離，定期測試備份恢復流程，確保業務能夠在遭受勒索攻擊後迅速恢復。
規劃前瞻性資安技術
企業應評估並規劃採用後量子密碼學（PQC）等技術，提前做好準備以應對未來可能出現的高級加密破解威脅，確保在面對新型攻擊時保持競爭力。
引入欺騙技術（Deception Technology）
部署欺騙技術，在企業內部設置假目標或虛擬資源，誘使攻擊者進行錯誤的行動或揭示其入侵路徑。這樣的策略能有效迷惑攻擊者，減少實際資源的暴露風險，並為安全團隊爭取更多反應時間。

台灣製造業的資安危機與未來展望

2024 年，RansomHub 頻繁鎖定台灣企業，以下是一些主要攻擊事件：

2024 年 6 月：攻擊台灣一家電腦大廠，造成數據洩露。
2024 年 8 月：攻擊台灣知名教科書大廠，竊取敏感資料。
2024 年 9 月：入侵台灣日系電機廠商，疑似竊取機密資料。
2024 年 10 月：攻擊台灣被動元件大廠，洩露核心技術資料。

攻擊頻率和規模顯著上升，特別是針對照明控制領域巨頭的攻擊，進一步提醒企業，網絡安全不僅是技術問題，更是企業治理和風險管理的核心議題。資安專家強調，企業必須將資安納入整體數位轉型戰略，建立全面的防禦體系，以應對日益複雜的跨境威脅，保護數據資產與競爭力。

結語：未來行動的迫切性

RansomHub 的持續活動顯示，全球網路威脅正在快速演變。對台灣企業而言，這既是警示，也是機遇。加強資安投入，提升風險抵禦能力，將是未來避免類似事件發生的關鍵。

有關RansomHub勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

5089fd6ce6d8c0fca8d9c4af7441ee9198088bfba6e200e27fe30d3bc0c6401c

3e2272b916da4be3c120d17490423230ab62c174

b2a2e8e0795b2f69d96a48a49985fb67d22d1c6e8b40dadd690c299b9af970d4

173.44.141.226

185.174.101.240

38.180.81.153

104.238.61.144

88.119.175.65

23.227.193.172

勒索軟體Knight重新命名為RansomHub且加倍攻擊傳出台灣電腦大廠遭駭

Posted on 2024 年 6 月 7 日2024 年 6 月 7 日 by blogadmin

Knight（又稱 Cyclops 2.0）勒索軟體於 2023 年 5 月首次出現，採用雙重勒索策略來竊取和加密受害者的資料以獲取經濟利益。它可跨多個平台運行，包括 Windows、Linux、macOS、ESXi 和 Android。Knight利用網路釣魚和魚叉式網路釣魚活動作為惡意附件形式的分發媒介，並在RAMP網路犯罪論壇上推動廣涉及勒索軟體的攻擊。然而其勒索軟體即服務 (RaaS) 操作於 2024 年 2 月下旬關閉，並出售其原始程式碼，增加了勒索軟體轉手給其他駭客的可能性，據悉獲得該原始碼的駭客隨後並以Ransom Hub品牌重新出發。Ransom Hub 在同月發布了第一個受害者訊息，最近幾週與一系列高關注度勒索軟體攻擊有關，其中包括美國醫療集團 Change Healthcare、拍賣業者佳士得和Frontier Communications(美國前線通訊公司)的攻擊。值得一提的是，Ransom Hub揚言不會攻擊獨聯體國家(Commonwealth of Independent States — CIS)包含古巴、北韓和中國。普遍認為這可能與俄羅斯有關，長期以來，俄羅斯一直對駭客犯罪活動視而不見，條件是這些活動不針對俄羅斯或其盟友。根據TheHackerNews報道，觀察到Ransom Hub 的攻擊是利用已知的漏洞 (例如ZeroLogon ) 來取得初始的存取權限，並在部署勒索軟體之前刪除Atera和Splashtop等遠端桌面軟體。

根據Malwarebytes分享的統計數據，僅在2024年4月， Ransom Hub 就與26起已確認的駭客攻擊事件有關，僅次於Play、Hunters International 、Black Basta和LockBit。另外，賽門鐵克一份報告中表示，Knight和Ransom Hub 這兩個系列的勒索軟體其程式碼重疊程度很大，很難區分它們。它們之間的重疊也延伸到用於編碼字串的混淆技術、機密檔案後遺失的勒索訊息，以及在開始加密之前以安全模式重新啟動主機的能力。唯一主要的區別是透過cmd.exe執行的命令集，儘管“相對於其他操作的呼叫方式和順序是相同的”。昨日(6/6)也傳出藍天電腦遭Ransom Hub攻擊，被盜200Gb的資料，今天(6/7)該公司針對該起事件發佈重訊，稱其資安單位偵測網路傳輸異常，隨即啟動資安防禦及復原機制，目前未有無法營運或無法正常提供服務之情事。

根據美國知名網路安全公司Mandiant：”在近三分之一的事件中，勒索軟體是在攻擊者首次存取後48小時內部署的。” “百分之七十六(76%)的勒索軟體部署發生在工作時間之外，其中大多數是發生在清晨。” 而勒索軟體攻擊的特點在於用戶使用商業上可用的合法遠端桌面工具做為入侵操作，而不是依賴Cobalt Strike(滲透偵測工具)。對合法工具的日益依賴可能反應了攻擊者努力向檢測機制隱藏其操作，並減少自行開發與維護自訂工具所需要的時間與資源。

以下提供Ransom Hub相關的部分的入侵指標（IOCs）: