Trellix 的最新研究詳細指出，CrazyHunter 勒索軟體已成為日益嚴重的威脅，凸顯了現代網路犯罪活動日益複雜化。 Trellix 自該惡意軟體首次出現以來便對其進行追踪，觀察到其技術快速演變和活動不斷增加。迄今為止，其主要攻擊目標是台灣的醫療機構，已確認有六家機構受害。從技術上講，CrazyHunter 是 2024 年中期出現的 Prince 勒索軟體的分支，但它進行了顯著的增強，尤其是在網路入侵方法和反惡意軟體規避能力方面。
Trellix 研究員 Aswath A上週在公司部落格文章中寫道：「CrazyHunter 是一款用 Go 語言開發的勒索軟體，它採用先進的加密和傳播方式，專門針對 Windows 系統。它利用資料外洩網站公開受害者資訊。根據現有資訊，CrazyHunter勒索軟體的主要攻擊目
標行業是醫療保健行業，台灣的醫院屢遭攻擊。攻擊者維護一個資料外洩網站，在上面公佈受害者的信息，特別是那些不配合的受害者。Aswath 指出 CrazyHunter 的攻擊方法極為高效，並認為攻擊者對企業網路漏洞有著深刻的理解。
典型的 CrazyHunter 勒索軟體攻擊會經歷一系列不同的階段。初始入侵通常始於利用組織 Active Directory 基礎架構中的漏洞，最常見的是利用與網域帳戶關聯的弱密碼。一旦獲得存取權限，攻擊者便會橫向移動，並在整個環境中迅速傳播。在已觀察到的 CrazyHunter 事件中，此階段通常涉及使用 SharpGPOAbuse 透過群組原則物件部署勒索軟體有效載荷，從而能夠快速分發到多個系統，並依靠被入侵的 Active Directory 憑證來維持傳播。
在獲得廣泛存取權限後，攻擊者會專注於權限提升，以繞過防禦機制並鞏固控制。 CrazyHunter 的顯著特點是使用了「自帶漏洞驅動程式」技術，該技術利用修改後的 Zemana 反惡意軟體驅動程式 zam64[dot]sys 來提升權限並繞過通常會阻止此類活動的安全機制。攻擊最終會對整個網路中的檔案進行大範圍加密，導致關鍵數據無法訪問，隨後發出勒索訊息，要求支付贖金以換取解密金鑰。
現代網路攻擊中一個令人擔憂的趨勢是，攻擊者會採取多階段行動，在執行主要惡意載荷之前，先精心設計初始行動以削弱或消除安全措施。透過分析特定批次腳本中描繪的攻擊流程，可以發現攻擊者採用了一種蓄意且複雜的系統入侵方法。本文將剖析該腳本的運行機制、用於禁用反惡意軟體的最終功能、禁用反向軟體的最終軟體。
CrazyHunter勒索軟體的核心在於其混合加密策略，該策略結合了對稱和非對稱演算法來保護檔案。這種雙層加密方法源自於其基礎建構工具“Prince Ransomware”，這是一個用Go語言編寫的開源工具。
據 Aswath 稱，「CrazyHunter 的主要功能是加密文件內容，它使用 ChaCha20 流密碼。這款勒索軟體的一個顯著特點是其部分加密。它並非加密整個文件，而是只加密一個字節的數據，然後跳過接下來的兩個字節，使其保持未加密狀態。這種 1:2 的加密比例是底層 Prince 構建器有意之的設計器。他指出，這種技術的可能理由是提高加密過程的速度，使勒索軟體能夠在更短的時間內感染更多文件，並有可能繞過監控持續大量磁碟 I/O 操作的安全解決方案。
ChaCha20 對資料進行加密，但整個操作的安全性取決於對每個檔案產生的唯一金鑰和隨機數的保護。為了實現這一點，CrazyHunter 採用了橢圓曲線整合加密方案 (ECIES)。 ECIES 是一種高效且安全的非對稱加密方法，與其他演算法（例如 RSA）相比，它使用更短的金鑰長度即可提供強大的安全性。該方法確保在沒有相應的 ECIES 私鑰的情況下無法解密，而該私鑰始終由攻擊者獨佔。加密檔案通常會被重新命名，並添加 [.]Hunter 副檔名。
Trellix 使用 GitHub 上的開源工具「donut-decryptor」手動解碼了 shellcode，發現它是同一個 go[dot]exe 有效載荷。分析顯示，file[dot[]exe 惡意軟體具有雙重功能，它可以將受感染的電腦變成檔案伺服器，也可以充當檔案監控和移除工具。以檔案伺服器執行時，它會透過 localhost 在指定連接埠（預設為 9999）上暴露指定目錄（預設為目前目錄）。在監控模式下，它會系統地掃描並刪除目錄及其子目錄中符合預先定義副檔名的檔案。
Semperis 事件回應主管 Jeff Wichman 認為，這些攻擊是更廣泛的轉變的一部分，在這種轉變中，軍事行動越來越多地被用作向該地區施加國家壓力的工具。這些針對台灣醫療機構的最新攻擊表明，目前正在發生一種更大的轉變，即網路攻擊被用作整個地區國家施壓的工具。這些攻擊行動不再是機會主義的破壞，而是越來越側重於支撐關鍵基礎設施實體（包括醫療機構）的身份系統。攻擊者明白，一旦身份被盜用，橫向移動、權限提升和大規模破壞就變得容易得多。
為了降低風險，威克曼呼籲醫療保健和關鍵基礎設施機構優先建造堅不可摧的身份安全堡壘。這意味著持續監控身份系統，以發現潛在的薄弱環節或濫用的早期跡象；通過例行審計建立更嚴格的授權權限；並在出現漏洞導致身份洩露時，主動制定身份恢復計劃，這對於加快恢復速度至關重要。Trellix 概述了幾項有助於抵禦 CrazyHunter 勒索軟體的措施：

1. 企業應透過在網域帳戶中強制執行多因素身份驗證來保護Active Directory。
2. 控制群組原則物件 (GPO) 的修改權限，以降低憑證被盜和透過 SharpGPOAbuse 進行惡意負載分發的風險。
3. 採取措施應對規避策略，以抵禦防毒軟體和勒索軟體的攻擊，同時阻止自帶漏洞驅動程式攻擊，此類攻擊會利用有缺陷的驅動程式進行權限提升和安全關閉。
4. 實施穩健的備份策略，包括異地和離線存儲，以確保備份資料不可篡改且無法被勒索軟體存取。
5. 定期測試事件回應計劃，以確認攻擊後能夠有效恢復。
6. 透過網路分段和嚴格的存取控制來限制橫向移動，從而限制勒索軟體在環境中快速傳播的能力，特別是透過被破壞的 Active Directory 憑證和群組原則物件。

資料來源：https://industrialcyber.co/ransomware/crazyhunter-ransomware-escalates-with-advanced-intrusion-tactics-six-taiwan-healthcare-victims-confirmed/