NoName勒索軟件組織在最近的攻擊中部署RansomHub
一個名為“NoName”的勒索軟件組織已經連續三年針對全球各地的小型和中型企業進行勒索攻擊，并試圖打出自己的名聲。近日，該組織可能正在與RansomHub勒索軟件交易平臺開展合作。
該勒索組織使用了一款名為Spacecolon的惡意軟件家族的自定義工具，并在利用EternalBlue或ZeroLogon等經典漏洞侵入網絡后部署它們。而在最近的攻擊中，NoName則使用了名為ScRansom的勒索軟件，該軟件取代了之前的Scarab加密器。此外，該攻擊者還試圖通過嘗試使用泄露的LockBit 3.0勒索軟件聲稱器來創建類似的數據泄露網站以及使用類似的勒索贖金通知來為自己打響名號。
研究人員發現，盡管ScRansom在勒索軟件領域并不像其他威脅那樣復雜，但它仍在不斷地進行著更新迭代。該惡意軟件支持使用不同的速度模式進行部分加密，以使攻擊者具有一定的靈活性。此外，其還具有一個名為“ERASE”的模式，可將文件內容替換為恒定值使其無法恢復。ScRansom可以加密所有驅動器上的文件，包括固定驅動器、遠程驅動器和可移動媒體，并且允許生成者通過可自定義的配置來確定要加密的文件擴展名。在啟動加密程序之前，ScRansom還會嘗試殺死Windows主機上的一系列進程和服務，包括Windows Defender、卷影副本、SVCHost、RDPclip、LSASS以及與VMware工具相關的進程。與此同時，ScRansom的加密方案也相當復雜：其采用了AES-CTR-128和RSA-1024的組合，并額外生成了一個AES密鑰來保護公鑰。
NoName一直使用暴力手段來獲取網絡訪問權限，但該攻擊者還利用了幾個更可能存在于SMB環境中的漏洞：
l  CVE-2017-0144
l  CVE-2023-27532
l  CVE-2021-42278與CVE-2021-42287
l  CVE-2022-42475
l  CVE-2020-1472
在6月初的一起與NoName相關的勒索軟件事件中，研究人員發現攻擊者在不到一周后就在同一臺機器上執行了RansomHub的EDR殺手工具。該工具允許攻擊者通過在目標設備上部署一個合法但存在漏洞的驅動程序來提升權限并禁用安全代理。兩天后，也就是6月10日，黑客在被入侵的機器上執行了RansomHub勒索軟件。研究人員指出，提取EDR殺手的方法是典型的CosmicBeetle行為，而不是RansomHub的附屬機構。
由于沒有關于RansomHub代碼或其構建者的公開信息，研究人員認為這一情況表明NoName加入了RansomHub的合作伙伴行列。盡管與RanssomHub的關聯尚未確定，但研究發現ScRansom加密器目前正在積極開發中。結合ScRansom轉向LockBit的事實，這表明NoName顯然仍在進行著進一步更新。
國內勒索軟件態勢抬頭，9月多起勒索事件
2024年9月 11日，勒索軟件團伙Hunters International聲稱對中國工商銀行倫敦分部進行了網絡攻擊，并竊取了超過520萬份文件，總計6.6TB的數據。該團伙在暗網上公布了這一信息，并設定了9月13日為支付贖金的最后期限，威脅若不滿足其要求，將公開所有竊取的數據。
此外Killsec勒索軟件也在9月份于其官網上放出了據稱是竊取自國內某政府單位的數據支付鏈接，這些數據包括但不限于：在中國機構與政府部門內的個人、行政、財務、審核流程等敏感信息。
目前大家常裝的殺毒軟件360中已加入黑客入侵防護功能。在本月被攻擊的系統版本中，排行前三的依次為Windows Server 2008、Windows 7以及Windows 10。
對2024年9月被攻擊系統所屬地域統計發現，與之前幾個月采集到的數據進行對比，地區排名和占比變化均不大。數字經濟發達地區仍是攻擊的主要對象。
通過觀察2024年9月弱口令攻擊態勢發現，RDP弱口令攻擊、MYSQL弱口令攻擊和MSSQL弱口令攻擊整體無較大波動。