90% 佣金：RansomHub 如何吸引网络犯罪精英

ESXi、Linux 和 Windows 成为不断上升的勒索软件的攻击目标。

2024 年 2 月，一个新平台 RansomHub 进入网络犯罪领域，使用 RaaS 模式提供勒索软件服务。该平台使用基于 Go 和 C++ 的恶意软件感染 Windows、Linux 和 ESXi 系统。 Insikt Group 的一份新报告描述了 RansomHub 的关键方面、其与之前已知的 Knight 软件的关系以及防范威胁的措施

RaaS 报告

该组织迅速发展壮大，成为过去 3 个月内公开宣布的攻击数量第四多的组织。而90%的诱人佣金吸引了经验丰富的附属机构，这导致感染人数急剧上升。

自成立以来，RansomHub 已经伤害了 18 个国家的 45 名受害者，其中主要是 IT 行业。这一事实表明了一种“大型游戏狩猎”策略，攻击者的目标是那些更有可能因停机造成的严重财务后果而支付巨额赎金的公司。

特别值得注意的是 RansomHub 的策略，即使用配置错误的 Amazon S3 实例不仅访问攻击主要目标的备份，还访问同一备份提供商的其他客户端的备份。在此类攻击中，网络犯罪分子通过威胁泄露客户数据来勒索备份解决方案提供商。

Insikt Group 已发现 RansomHub 与其他勒索软件组织（例如 ALPHV (BlackCat) 和 Knight Ransomware）之间的代码重叠。相似性可以指示组之间可能的连接或共享资源。

检测到的交叉点

让我们回想一下，Knight 作为 RaaS 模型的活动已于 2024 年 2 月结束，当时 Knight 源代码被出售。 这让我们有理由相信该病毒可能已经转移到新所有者手中，新所有者决定更新并以 RansomHub 品牌重新启动该病毒。

Knight 的源代码已出售。 改变医疗保健， 前沿通讯。 Insikt 组