NoName勒索软件组织在最近的攻击中部署RansomHub
一个名为“NoName”的勒索软件组织已经连续三年针对全球各地的小型和中型企业进行勒索攻击，并试图打出自己的名声。近日，该组织可能正在与RansomHub勒索软件交易平台开展合作。
该勒索组织使用了一款名为Spacecolon的恶意软件家族的自定义工具，并在利用EternalBlue或ZeroLogon等经典漏洞侵入网络后部署它们。而在最近的攻击中，NoName则使用了名为ScRansom的勒索软件，该软件取代了之前的Scarab加密器。此外，该攻击者还试图通过尝试使用泄露的LockBit 3.0勒索软件声称器来创建类似的数据泄露网站以及使用类似的勒索赎金通知来为自己打响名号。
研究人员发现，尽管ScRansom在勒索软件领域并不像其他威胁那样复杂，但它仍在不断地进行着更新迭代。该恶意软件支持使用不同的速度模式进行部分加密，以使攻击者具有一定的灵活性。此外，其还具有一个名为“ERASE”的模式，可将文件内容替换为恒定值使其无法恢复。ScRansom可以加密所有驱动器上的文件，包括固定驱动器、远程驱动器和可移动媒体，并且允许生成者通过可自定义的配置来确定要加密的文件扩展名。在启动加密程序之前，ScRansom还会尝试杀死Windows主机上的一系列进程和服务，包括Windows Defender、卷影副本、SVCHost、RDPclip、LSASS以及与VMware工具相关的进程。与此同时，ScRansom的加密方案也相当复杂：其采用了AES-CTR-128和RSA-1024的组合，并额外生成了一个AES密钥来保护公钥。
NoName一直使用暴力手段来获取网络访问权限，但该攻击者还利用了几个更可能存在于SMB环境中的漏洞：
l  CVE-2017-0144
l  CVE-2023-27532
l  CVE-2021-42278与CVE-2021-42287
l  CVE-2022-42475
l  CVE-2020-1472
在6月初的一起与NoName相关的勒索软件事件中，研究人员发现攻击者在不到一周后就在同一台机器上执行了RansomHub的EDR杀手工具。该工具允许攻击者通过在目标设备上部署一个合法但存在漏洞的驱动程序来提升权限并禁用安全代理。两天后，也就是6月10日，黑客在被入侵的机器上执行了RansomHub勒索软件。研究人员指出，提取EDR杀手的方法是典型的CosmicBeetle行为，而不是RansomHub的附属机构。
由于没有关于RansomHub代码或其构建者的公开信息，研究人员认为这一情况表明NoName加入了RansomHub的合作伙伴行列。尽管与RanssomHub的关联尚未确定，但研究发现ScRansom加密器目前正在积极开发中。结合ScRansom转向LockBit的事实，这表明NoName显然仍在进行着进一步更新。
国内勒索软件态势抬头，9月多起勒索事件
2024年9月 11日，勒索软件团伙Hunters International声称对中国工商银行伦敦分部进行了网络攻击，并窃取了超过520万份文件，总计6.6TB的数据。该团伙在暗网上公布了这一信息，并设定了9月13日为支付赎金的最后期限，威胁若不满足其要求，将公开所有窃取的数据。
此外Killsec勒索软件也在9月份于其官网上放出了据称是窃取自国内某政府单位的数据支付链接，这些数据包括但不限于：在中国机构与政府部门内的个人、行政、财务、审核流程等敏感信息。
目前大家常装的杀毒软件360中已加入黑客入侵防护功能。在本月被攻击的系统版本中，排行前三的依次为Windows Server 2008、Windows 7以及Windows 10。
对2024年9月被攻击系统所属地域统计发现，与之前几个月采集到的数据进行对比，地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。
通过观察2024年9月弱口令攻击态势发现，RDP弱口令攻击、MYSQL弱口令攻击和MSSQL弱口令攻击整体无较大波动。