What is RansomHub Ransomware?

蘭索姆中心的出現和演變

RansomHub 出生在 2024 年初創紀錄的變更醫療保健攻擊中。

當 Change Healthcare 受到攻擊時，其醫療數據被勒索軟體附屬機構竊取，其係統也被 ALPHV 自己的內部勒索軟體擾亂。

內心的背叛

根據 ALPHV 的條款和條件，該附屬公司應該獲得 2.200 萬美元的支付款額的大部分，而 ALPHV 獲得了減少。 然而，這一次，勒索軟體所有者闖入了附屬公司的錢包並竊取了全部付款。 然後，他們在他們的網站上貼上了一個假的 FBI 撤銷通知，以使觀眾感到困惑。

研究人員現在認為，他們進行了退出詐騙，切斷了他們原本使用其服務的大量附屬機構。

抓住機會

雖然犯罪分子的令人眼花繚亂的支付被他們自己的勒索軟體提供商竊取，但該附屬機構仍然擁有一件事：數 TB 的受害者健康數據。

同一個月，一項長期的全球努力達到了激烈的結局，使曾經統治的聯盟集團 LockBit 陷入膝蓋。 ALPHV 拋棄的網絡犯罪分子迅速發展成了一批新獨立機會主義者。

朗索姆中心的推出

2024 年 4 月，原始的 Change Healthcare 分支機構重新突破 — 首先成立了自己稱為 RansomHub 的勒索公司 — 然後立即用他們在最初的 ALPHV 攻擊中竊取了 Change Healthcare 的母公司 UnitedHealth。 結果是黑市大量的關注，並且受歡迎的贖金票據帶來了財務福利。

RansomHub 發布了一部分被盜文件，明確表明了其運營座右銘：「我們的團隊成員... [僅] 對美元感興趣。」

勒索軟體保護與預防策略

勒索軟體的預防幾乎總是取決於足夠的網路衛生——因此，讓我們深入研究 3 種策略，以防止 RansomHub 附屬機構陷入困境。

#1.使用多重身份驗證

在引發這一切的勒索軟體攻擊中，即 2021 年針對 Change Healthcare 的勒索軟體攻擊中，法醫檢查後發現，相關附屬機構已透過一個用戶的帳戶獲得了存取權限；該密碼已被重複使用並在某些時候洩露，導致一系列非法存取和資料竊取。

隨著 Change Healthcare 處理了所有美國客戶的 40％ 的健康支付流程，而且只有現在開始向受影響的客戶發送個人數據盜竊通知，財務後果才剛剛開始。

這種攻擊完美地描述了簡單地使用被盜的憑證通常更快，更容易。 資訊盜竊者已經填補了網絡犯罪市場中的這個領域，使得獲得有效憑證的速度更加快。

防止濫用盜用憑證是基礎架構上最容易實現的網絡安全變更之一，尤其是如果您的企業已經依賴 Ping、Microsoft 或 Okta 等身分和訪問管理 (IAM) 解決方案。

多重身份驗證 (MFA)要求用戶透過另一個資訊確認其登入嘗試，並切斷帳戶劫持者的攻擊途徑。

#2.定期更新軟體

但被盜的存取憑證並不是 RansomHub 附屬機構運作的唯一方式：研究人員最近發現，RansomHub 犯罪分子在部署合法的遠端存取和網路掃描工具之前，也透過 Microsoft ZeroLogon 缺陷取得存取權限。

正是這個過程使他們能夠對佳士得拍賣行進行攻擊 —— 而且令他們的意思是，他們將佳士得的個人資料拍賣給最高出價者。

通過實施定期修補程序並保持所有軟件在最新狀態，您可以幫助防止通過內嵌錯誤進行任何惡意訪問。 為了達到這一目標，請查看每個已發佈的軟體瑕疵的嚴重程度。 這有助於您優先修補的優先順序。

更好的是自動更新，在您的團隊解決之前，可以防止任何惡意利用。

＃3。分段網路

Patelco 信用合作社是 RansomHub 最近發布的受害者之一 —— RansomHub 的勒索門戶詳細說明了信用合作社的管理層如何 「完全不關心」客戶的隱私。 考慮到其密集的端點攻擊模式，以及隨後向 PII 密集型資料庫的橫向移動，端點分段具有很大的阻止 RansomHub 的潛力。

若要實施網路分段，網路團隊應先針對需要保護的每種資料和資產類型製定安全策略。 這些原則應指定每個資源、存取資源的使用者和系統，以及應授予的存取層級。

實作允許清單存取控制

下一步涉及實施白名單存取控制，這大大增強了網路安全性。

為了使其有效，團隊必須為每個應用程式製定應用程式資料流。 儘管這個過程可能非常耗時，但考慮到網路安全漏洞的潛在成本，這種投資是合理的，而且比嘗試刪除勒索軟體要容易得多。