美国当局发布 RansomHub 勒索软件警报

美国当局发布了一份联合网络安全公告，涵盖一个多产的勒索软件组织 RansomHub。

据信，该组织通过双重勒索技术“加密和泄露”了至少 210 名受害者的数据。

该组织的受害者涵盖公共和私营部门的组织，包括医疗保健、IT、政府、紧急服务、食品和农业以及水和废水。该集团还瞄准了制造业、运输和通信领域的“关键”基础设施。

该咨询说明详细介绍了策略、技术和程序 （TTP）、入侵指标 （IOC），以及组织可以采取的自我保护步骤。

RansomHub 的策略、技术和程序

据美国国家网络防御机构 CISA 称，RansomHub “通过加密系统和泄露数据来勒索受害者”，使用双重勒索。但是，由于 RansomHub 采用联盟模式，因此数据泄露的确切方法将取决于闯入受害者网络的联盟。

这些机构表示，RansomHub 附属公司通常通过网络钓鱼、密码喷洒（针对因密码泄露而受损的帐户）和利用已知漏洞来“破坏面向互联网的系统和用户端点”。

一旦进入网络，该组织的附属公司将加密数据并删除勒索软件记录，但通常不包括赎金要求或付款详细信息。相反，受害者会获得一个客户端 ID 和指示，让他们通过 Tor 浏览器通过 .onion URL 联系该组织。研究人员表示，受害者通常有 3-90 天的时间付款，否则他们的数据将发布在 RansomHub Tor 数据泄露网站上。

为了加密数据，该小组使用椭圆曲线加密算法 Curve 25519 并使用间歇性加密。勒索软件以数据为目标，通常不会加密可执行文件。

在公告中，CISA 将 IP 地址（许多与 QakBot 相关联）和电子邮件地址列为潜在的 IOC。

如何应对 RansomHub 攻击

如果受害者认为他们已成为 RansomHub 附属公司的目标，这些机构建议将任何可能受影响的主机下线，重新映像它们并颁发新的帐户凭证。他们还应该监控他们的系统是否有可疑行为。

CISA 及其合作伙伴还建议组织维护多个分段数据备份，并遵循 NIST 密码策略指南。CISO 还应确保组织通过测试和练习来验证其安全控制措施。

阅读有关 CISA 勒索软件计划的更多信息：通过 CISA 勒索软件计划保护超过 850 台易受攻击的设备

#StopRansomware 联合网络安全咨询说明由 FBI、CISA、多州信息共享和分析中心 （MS-ISAC） 和卫生与公众服务部 （HHS） 发布。