近日，美国网络安全及基础设施安全局（Cybersecurity and Infrastructure Security Agency，CISA）、联邦调查局（Federal Bureau of Investigation，FBI）、卫生与公众服务部（United States Department of Health and Human Services，HHS）以及美国多州信息共享与分析中心（MS-ISAC）联合发布报告，提醒各企业/组织注意防范，并释出了勒索软件RansomHub的策略、技巧、流程（TTP）与网络入侵指标（IOC），因为面世仅半年左右的RansomHub，至今为止已让超过210家企业/组织成为受害者。

CISA在首页发布的关于RansomHub的公告/CISA官网截图自2024年2月面世以来，RansomHub已加密及外泄至少210家受害者的数据，受害领域涵盖水及废水、信息技术、政府服务与设施、医疗保健及公共卫生、紧急服务、食品与农业、金融服务、商业设施、制造业、运输和通信的关键基础设施部门等。根据调查，RansomHub是由勒索软件Cyclops及Knight演变而来的勒索软件即服务（RaaS），此外，在已被执法机关破获及捣毁的BlackCat/ALPHV与LockBit勒索软件组织中，也有不少附属成员转而投靠RansomHub，使得RansomHub快速壮大。RansomHub采用双重勒索的模式，通过加密系统和窃取数据来敲诈受害者。他们会替受害者建立一个客户端ID，通过特定的洋葱网址（.onion）与其联系，要求受害者在90天内支付赎金，否则就要外泄所窃取的资料。在公告中并未公布受害者的名字，但此前有新闻报道，英国艺术品及奢侈品拍卖行佳士得（Christie's）、美国医疗保健集团Change Healthcare以及我国台湾省的电脑代工企业蓝天电脑都曾被RansomHub勒索。报告的部分细节

RansomHu通常通过使用钓鱼电子邮件、利用已知漏洞和密码喷射等方法破坏面向互联网的系统和用户端点。密码喷洒的目标是针对因数据泄露而受损的帐户，概念验证漏洞攻击程序的来源则包括ExploitDB和GitHub。RansomHub组织的成员还使用AngryIPScanner、Nmap等工具进行网络扫描，以及基于PowerShell的live -off- land方法，使用PowerShell进行网络扫描。。网络安全研究人员观察到RansomHub使用用户桌面或下载内容中留下的无害文件名（例如 Windows.exe）重命名勒索软件的可执行文件。RansomHub还清除了 Windows 和 Linux系统日志以抑制任何潜在的事件响应，使用 Windows的管理工具禁用防病毒产品。在某些情况下，还会部署特定于RansomHub的工具来禁用端点检测和响应 （EDR）工具。该公告指出“在初始访问之后，RansomHub及其附属成员创建了用于持久性的用户帐户，重新启用已禁用的帐户，并在Windows系统上使用 Mimikatz收集凭据并将权限提升到 SYSTEM”，“随后，他们会通过远程桌面协议（RDP）、PsExec、Anydesk、Connectwise、N-Able、Cobalt Strike、Metasploit或其他广泛使用的命令-控制 （C2）方法横向进入网络内部”。

CISA发布的PDF报告前三页截图/CISA官网报告进一步指出，RansomHub勒索软件通常利用一种名为 Curve 25519的椭圆曲线加密算法对系统上用户可访问的文件进行加密。“Curve 25519使用的公钥/私钥对每个受害者组织都是唯一的。该勒索软件会试图加密用户访问的任何文件，包括用户文件和网络共享文件。”报告补充道，RansomHub实施间歇性加密，以0x100000字节的块加密文件，并跳过每0x200000字节的数据在加密块之间，小于0x100000字节的文件是完全加密的。报告最后部分还附加了58 (0x3A)字节的数据。该数据包含的值可能是加密/解密密钥的一部分。解决建议

联合发布报告的这四家机构建议，根据RansomHub的入侵方式实施缓解措施以改善网络安全态势。他们呼吁各组织实施执行恢复计划;要求使用密码登录的账户符合开发及管理密码策略的标准;保证操作系统、软件和固件更新到最新状态;要求对管理员帐户进行防网络钓鱼的多重身份验证;实施网络微隔离策略，以防止勒索软件的传播。此外，网络防御者还必须考虑在从组织外部收到电子邮件时添加电子邮件横幅;禁用外部电子邮件中的超链接;对管理员级别和更高级的帐户实施基于时间的访问;禁用命令行和脚本活动和权限;维护数据的离线备份，定期维护备份和恢复;并确保备份数据加密、不可变（即无法更改或删除），并覆盖整个组织的数据基础设施。