RansomHouse频频出击，多行业遭勒索攻击 - FreeBuf网络安全行业门户

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

资讯

RansomHouse频频出击，多行业遭勒索攻击

新华三攻防实验室 2024-12-24 14:57:56 5927

所属地内蒙古

组织背景

新华三聆风实验室监测到一起我国南方某知名药业遭到RansomHouse勒索组织攻击的事件，结合最近其他事件，聆风实验室对RansomHouse勒索组织进行了分析。

RansomHouse是近年活跃的勒索攻击组织之一，于2021年12月底首次出现，采用RaaS（勒索软件即服务）的模式运作。RansomHouse勒索组织的攻击活动遍布全球，涉及多个行业，包括政府、医疗、能源、半导体、金融、制造等。

RansomHouse的出现始于Babuk源代码的公开，2021年9月，Babuk勒索软件源码被其成员在俄罗斯的某论坛上公开，而本次Babuk源码的泄露催生了多个新的勒索组织，其中就包括RansomHouse。RansomHouse擅长通过钓鱼攻击、漏洞利用等方式获得企业网络的初始访问权限，然后投递MrAgent等恶意软件，并部署Mario ESXi、White Rabbit等勒索软件。近期，RansomHouse的勒索攻击活动日益猖獗，对全球网络安全构成了严重威胁，例如，2024年11月底，该组织在其暗网泄露站点上宣称攻击了国内某药企，1.4TB的数据被窃取。

1735021177_676a52796bdd985e5812e.png!small?1735021178148

RansomHouse对外宣称他们并非勒索软件组织，不会开发和使用勒索软件，而是"专业社区调解者"，帮助受害者以较小的损失解决数据泄露问题。尽管该组织表明不会对受害者的系统和文件进行加密，只是专注于数据窃取，但是在RansomHouse的一些攻击活动中，仍发现使用了勒索软件进行文件加密。

新华三聆风实验室将持续跟踪RansomHouse组织最新勒索攻击活动。目前，新华三病毒特征库支持相关样本检测，新华三AIFW及AI SOC平台均支持该检测，请及时升级更新。

1735021213_676a529d311b3bf079d57.png!small?1735021213821

RansomHouse数据泄露站点

组织画像

1735021837_676a550d7b34f144c13e5.png!small?1735021838041

1735021871_676a552f0be794665d107.png!small?1735021871442

WhiteRabbit：

1735021898_676a554ac7ac2ce1fe0db.png!small?1735021899382

攻击活动统计

根据公开数据统计，2024年初至今，RansomHouse组织已成功发起51次勒索攻击。

1735021985_676a55a1e474f45551974.png!small?1735021986355

各月攻击次数（注:统计日期截至2024/11/27）

从受害者国家分布来看，其中美国是RansomHouse勒索攻击受害者最多的国家，占比22%，中国仅次于美国，占比10%。

1735022016_676a55c03e3f331cf19d7.png!small?1735022016727

受害者国家分布

从受害者所在行业分布来看，该组织针对的行业没有明显的倾向，其中，以制造业和教育科研为主，占比分别为21%和13%。

1735022042_676a55da21f0c42fbd417.png!small?1735022042620

受害者行业分布

样本分析

1735022169_676a56592ba8c0caa97ec.png!small?1735022169508

我们对RansomHouse组织经常使用的Mario勒索软件进行了分析，该勒索软件需要通过命令行参数指定加密的目标文件或文件夹路径，可以同时指定多个，其将遍历这些文件或文件夹进行加密操作。

1735022191_676a566f42f483bcd5074.png!small?1735022192088

在加密文件前会在文件夹中创建一个勒索信文件并保存相关内容，勒索信文件名为“How To Restore Your Files.txt”。

1735022208_676a5680ee78d5497f0b0.png!small?1735022209410

勒索信内容如下：

1735022231_676a5697a9eb7f15f3c09.png!small?1735022232394

然后递归遍历文件夹下的所有文件进行加密操作，跳过mario、wmario、lmario、emario、nmario、mmario等加密后缀的文件和勒索信文件，通过多线程的方式来提高加密速度。

1735022251_676a56ab677a979d4888b.png!small?1735022252025

该勒索软件针对每一个文件都随机生成一个私钥，使用Curve25519算法生成对应的随机公钥，并与攻击者的公钥生成共享密钥。使用该共享密钥与Sosemanuk流加密算法来加密文件，最大加密大小为512MB。文件加密完成后，生成的随机公钥被保存到加密文件的尾部，并修改文件名，添加上加密后缀“.lmario”。

1735022268_676a56bc0d340dea64c81.png!small?1735022268517

通过上述分析可以看出，该勒索软件是通过对Babuk源码的修改而来，除了勒索信内容和加密文件后缀，其他没有太大的改动。

IOC

afe398e95a75beb4b0508c1bbf7268e8607d03776af0b68386d1e2058b374501

0a77e537c64336f97a04020e59d17d09d459d1626a075878e2b796d1e1033038

3934b3da6bad0b4a28483e25e7bab919d7ed31f2f51cca22c56535b9f8183a0e

d36afcfe1ae2c3e6669878e6f9310a04fb6c8af525d17c4ffa8b510459d7dd4d

8189c708706eb7302d7598aeee8cd6bdb048bf1a6dbe29c59e50f0a39fd53973

bfc9b956818efe008c2dbf621244b6dc3de8319e89b9fa83c9e412ce70f82f2c

新华三聆风实验室

新华三聆风实验室专注于威胁狩猎、情报生产、高级威胁追踪等技术研究。基于对全球活跃恶意团伙的跟踪与分析、安全事件响应处置、海量恶意样本的自动化情报提取以及多元基础数据的关联分析等方法，结合人工+AI研判策略和运营流程，实时产出多维度的威胁情报，为新华三安全产品和解决方案持续赋能。同时，实验室致力于高级威胁攻击的技术研究，包括跟踪、分析、监测与报告输出等。

# 数据安全 # 企业安全 # 勒索软件攻击 # 勒索组织

本文为新华三攻防实验室独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）

被以下专辑收录，发现更多精彩内容

+ 收入我的专辑

+ 加入我的收藏

展开更多