在名为“RansomHouse”的暗网上出现了另一种数据勒索网络犯罪活动，威胁行为者发布被盗文件的证据并泄露拒绝支付赎金的组织的数据。

新行动声称不使用任何勒索软件，而是专注于通过所谓的漏洞来破坏网络以窃取目标的数据。

但是，他们不对自己的行为负责。相反，他们指责这些公司没有正确保护他们的网络，以及为漏洞披露提供的“小得离谱”的漏洞赏金奖励。

“我们认为，罪魁祸首不是发现漏洞或进行黑客攻击的人，而是那些没有妥善保护安全的人。罪魁祸首是那些没有把锁锁在门上的人，让门敞开着邀请所有人中，” RansomHouse 威胁参与者在他们的“关于我们”页面上写道。

“人们天生好奇，渴望了解他们感兴趣的对象。通常，公司会在负面背景、直接威胁或沉默中回应“大门敞开”的信息。在极少数情况下，人们可能会遇到感激之情和可笑的小额付款甚至连发烧友 5% 的努力都没有。”

定位您的数据
据信 RansomHouse 于 2021 年 12 月启动，其第一个受害者据称是 萨斯喀彻温省酒类和博彩管理局(SLGA)，该机构现已列在勒索网站上。

自本月启动该网站以来，攻击者又增加了另外三名受害者，最近的受害者是一家德国航空公司支持服务提供商，上周遭到袭击。

勒索仍在进行中的最新受害者名单
有趣的是，RansomHouse 为仍在积极勒索的受害者列出了媒体帖子的 URL，突出了他们攻击的公开性并将其用作额外的勒索方法。

如果受害者不向黑客支付赎金，他们的数据就会被出售给其他威胁参与者。如果没有人有兴趣购买它，那么被盗的数据集就会发布在 Tor 网站上。

宣布被盗数据出售给拒绝谈判的受害者
一个离奇的起源故事
RansomHouse 的起源故事有些奇怪，该组织首先在White Rabbit 赎金笔记中被提及，但演员坚称他们只与勒索软件团伙合作，并没有自己使用勒索软件。

在 Cyber​​int 今天发布的一份报告中，分析师发现 Telegram 在Lapsus$ gang Telegram 频道上发布了宣传 RansomHouse 的帖子。这表明威胁参与者同样有兴趣将数据出售给其他威胁参与者以及受害者。

RansomHouse 在 Lapsus Telegram (Cyber​​int)上发帖

因此，虽然 RansomHouse 的起源目前尚不清楚，但该组织并未作为一个完全独立的实体出现，而是来自其他威胁组织。

Cyber​​int 声称已经广泛检查了 RansomHouse 的核心成员与 Telegram 频道上其他威胁参与者的通信，并报告说看到了职业行为。

“他们在博客和各种 Telegram 频道上都彬彬有礼，不会卷入无关的讨论。此外，他们声称非常自由和支持自由。他们不想将商业和政治混为一谈，并宣布他们永远不会与激进的黑客活动家或间谍组织合作，” Cyber​​int的报告解释 道。

这使得 Cyber​​int 的分析师认为，RansomHouse 是由心怀不满的红队渗透测试人员发起的一个项目，他们厌倦了低赏金和糟糕的网络安全规划。

网络安全公司 Emsisoft 的威胁分析师Brett Callow就 RansomHouse 告诉ZZQIDC：

RansomHouse 平台据称被“俱乐部成员”使用，他们使用自己的工具进行攻击 - 据他们称，这些工具包括勒索软件，如白兔。但是，我怀疑他们的说法是不真实的，并且执行攻击的同一个人也在 RansomHouse 背后。

至于起源，曾打电话给媒体宣传袭击事件的 RansomHouse 代表说英语，听起来像是东欧口音。

然而，其他网络犯罪分子表示担心新的数据勒索项目可疑且不可信。

黑客论坛上的用户讨论新的泄密门户
(KELA)
加密因子
Cyber​​int 声称 RansomHouse 仅窃取数据并处理与其他骗子的谈判或销售。此外，新操作表示他们不使用勒索软件进行加密，因此勒索完全基于暴露被盗文件的威胁。

这可以解释为什么该组织之前声称它是各种勒索软件团伙的平台，包括白兔，实际上从事加密。

奇怪的是，“加密”一词出现在 RansomHouse Onion 网站上，表示受害组织已对其数据进行了加密，因此这部分是有争议的。

RansomHouse 主页
目前，这项新行动规模很小，只有四名受害者，ZZQIDC仍在验证中。

RansomHouse 是否会在短期内成为大规模的危险是值得怀疑的，但任何勒索门户的启动都应该成为所有网络和安全管理员的关注点。