警惕！新的“勒索之家”組織強制滲透測試式勒索攻擊

最近的勒索攻擊活動有些新變化。先是著名的Conti勒索組織宣布從此金盆洗手退出勒索江湖，其實只是采取新的戰略戰術，化整為零打游擊。很快，又出來一個Goodwill勒索組織，不為錢只為名，要求受害者做慈善，得做三件好事!!這第三個，剛剛被安全研究者注意到的，剛剛出現在暗網上的勒索之家(RansomHouse)，是一個勒索數據的網絡犯罪組織，威脅行為者會公布被盜文件的證據，并泄露拒絕支付贖金的組織的數據。這項新行動聲稱不會使用任何勒索軟件，而是專注于通過所謂的漏洞破壞網絡，竊取目標的數據。然而，他們不為自己的行為負責。相反，他們指責這些公司沒有妥善保護自己的網絡，并指責它們為漏洞披露提供的漏洞賞金“小得可笑”。RansomHouse實際上是在向從未使用過他們的服務或獎勵漏洞賞金的組織強制“滲透測試服務”，一旦他們發現任何漏洞，他們就會充分利用這些漏洞來竊取盡可能多的敏感數據。

“我們認為，罪魁禍首不是發現漏洞或實施黑客攻擊的人，而是那些沒有妥善處理安全問題的人。罪魁禍首是那些沒有鎖門的人，讓門大開著，邀請所有人進來，”威脅勒索屋的行為者在他們的“關于我們”頁面上寫道。

“人們天生好奇，渴望了解自己感興趣的對象。通常情況下，企業對“大門敞開”的回應是負面的、直接的威脅或沉默。在極少數情況下，人們可能會得到感謝，得到的報酬少得可笑，甚至還不到熱衷者努力的5%。”

Cyberint公司對2022年勒索軟件前景的預測之一是，勒索軟件組織將開發并努力在可能的情況下僅要求為被盜數據付款，并消除其活動中的加密階段。RansomHouse正是采用這種技術的組織之一，因為他們聲稱他們在活動中不使用任何加密。

針對受害者的數據

據信，勒索之家成立于2021年12月，第一個受害者是薩斯喀徹溫省酒類和博彩管理局(SLGA)，該機構現在被列在勒索網站上。

自本月推出該網站以來，威脅行為者又增加了三名受害者，最近的是一家德國航空公司支持服務提供商，上周遭到攻擊。

還在調查中勒索案例的最新受害者名單

有趣的是，RansomHouse列出了仍在被勒索的受害者的媒體帖子url，強調他們攻擊的公開性，并將其作為一種額外的勒索手段。

如果受害者不向黑客支付贖金，他們的數據就會被賣給其他威脅行為者。如果沒有人有興趣購買它，被盜的數據集就會發布在Tor網站上。

聲明拒絕談判的受害者的被竊取的數據將被出售

一個奇怪的起源

“勒索之家”的起源有點奇怪，該組織最初是在白兔(White Rabbit )的勒索信中提到的，但行為者們堅稱他們只是與勒索軟件團伙合作，自己并沒有使用勒索軟件。

在Cyberint公司23日天發布的一份報告中，分析人士發現Telegram上有在Lapsus$ gang Telegram頻道上推廣勒索屋的帖子。這表明威脅行為者同樣有興趣將數據出售給其他威脅行為者以及受害者。

RansomHouse在Lapsus的elegram發布的消息 (Cyberint)

因此，雖然“勒索之家”的起源目前尚不清楚，但該組織并不是作為一個完全獨立的實體出現的，而是來自其他威脅組織。

Cyberint聲稱，他們廣泛檢查了勒索之家核心成員與Telegram上其他威脅行為者的通信，并報告稱看到了專業行為。

他們在自己的博客和各種Telegram頻道上說話都很禮貌，不會卷入無關的討論。此外，他們聲稱非常自由和支持自由。他們不想把商業和政治混在一起，并宣布他們永遠不會與激進的黑客活動分子或間諜組織合作，”Cyberint的報告解釋道。

這使得Cyberint的分析師認為，“勒索之家”項目是由心懷不滿的紅隊測試人員發起的，他們受夠了低賞金和糟糕的網絡安全規劃。

網絡安全公司Emsisoft的威脅分析師布雷特·卡洛(Brett Callow)對Bleeping Computer表示:

據推測，“勒索之家”平臺被“俱樂部成員”使用，他們使用自己的工具進行攻擊，據他們說，這些工具包括“白兔”等勒索軟件。然而，我懷疑他們的說法是不真實的，實施襲擊的人也是“贖金之家”的幕后主使。

至于攻擊的來源，一名給媒體打電話宣傳攻擊的“贖金之家”代表說的英語聽起來像東歐口音。

然而，其他網絡罪犯表示擔心，新的數據敲詐項目是可疑的，不值得信任。

用戶在黑客論壇上討論新的泄露門戶(KELA)

加密的因素

Cyberint聲稱，RansomHouse只竊取數據，處理與其他騙子的談判或銷售。此外，新的行動表示，他們不使用勒索軟件進行加密，所以勒索僅僅是基于泄露被盜文件的威脅。

這就解釋了為什么該組織之前聲稱它是包括白兔在內的各種勒索軟件團伙的平臺，這些團伙實際上從事加密工作。

但奇怪的是，“加密”一詞出現在“勒索之家”Onion網站上，表示受害組織的數據已被加密，所以這部分是有爭議的。

目前，這一新的操作規模較小，只有四名受害者，BleepingComputer仍在核實過程中。

“勒索之家”是否會在短時間內成為大規模的危險還值得懷疑，但任何勒索門戶網站的推出都應該引起所有網絡和安全管理員的關注。

CyberInt總結稱，最近幾個月，尤其是在俄羅斯-烏克蘭沖突開始之后，他們看到新的威脅組織以不同的議程涌入人們的生活，因為Twitter和Telegram繼續給威脅行為者發聲并充當他們的喉舌。

RansomHouse是這個現實中出現的另一個新生物。一群才華橫溢的紅藍隊隊員，有兩張面孔——支持自由、自由主義和反激進主義，以及一個恐嚇組織并迫使他們付出或羞辱的團體的面孔。

他們的使命感與許多披著羊皮的狼的崛起相一致，威脅行為者希望在試圖讓受害者處于不利地位時獲得社會的認可。

最后，RansomHouse正在盡最大努力發展并成為網絡犯罪行業的主導者，但目前，他們仍處于早期階段。然而，與最近出現的具有“更高目標”的其他團體不同，例如BlueHornet，顯然，個人利益是他們的主要動機。

參考鏈接

1、https://www.bleepingcomputer.com/news/security/new-ransomhouse-group-sets-up-extortion-market-adds-first-victims/

2、https://cyberint.com/blog/research/ransomhouse/

來源：網空閑話