Los actores de amenazas vinculados al grupo de ransomware RansomHub han
cifrado y exfiltrado datos de al menos 210 víctimas desde su inicio en febrero
de 2024.
Las víctimas abarcan varios sectores, incluidos agua y aguas residuales,
tecnología de la información, servicios e instalaciones gubernamentales,
atención médica y salud pública, servicios de emergencia, alimentación y
agricultura, servicios financieros, instalaciones comerciales, manufactura
crítica, transporte e infraestructura crítica de comunicaciones.
RansomHub salió a la luz por primera vez en 2020 y es una
plataforma de ransomware como servicio (RaaS) descendiente de Cyclops y
Knight. Esta operación ha atraído a afiliados de alto perfil de otras
variantes destacadas como LockBit y ALPHV (también conocido como BlackCat)
tras una reciente ola acciones legales.
ZeroFox, en un
análisis publicado a finales del mes pasado, dijo que la actividad de RansomHub está en una trayectoria ascendente,
representando aproximadamente el 2% de todos los ataques en el primer
trimestre de 2024; 5,1% en el segundo trimestre; y 14,2% en lo que va del
tercer trimestre. «Aproximadamente el 34% de los ataques de RansomHub se han dirigido a
organizaciones en Europa, en comparación con el 25% en todo el panorama de
amenazas», señaló la compañía.
Se sabe que el grupo emplea el modelo de doble extorsión para exfiltrar datos
y cifrar sistemas con el fin de extorsionar a las víctimas, a quienes se les
anima a contactar a los operadores a través de una URL única .onion.
Las empresas objetivo que se niegan a aceptar la demanda de rescate publican
su información en el sitio de filtración de datos durante entre tres y 90
días.
El acceso inicial a los entornos de las víctimas se facilita mediante la
explotación de vulnerabilidades de seguridad conocidas en Apache ActiveMQ (CVE-2023-46604), Atlassian Confluence Data Center and Server (CVE-2023-22515), Citrix ADC (CVE-2023-3519), F5 BIG-IP (CVE-2023-46747), Fortinet FortiOS (CVE-2023-27997), y Fortinet FortiClientEMS (CVE-2023-48788), entre otros.
A este paso le siguen los afiliados que realizan reconocimientos y escaneos de
red utilizando programas como AngryIPScanner, Nmap y otros métodos LotL. Los
ataques de RansomHub implican además desactivar el software antivirus
utilizando
herramientas personalizadas para pasar desapercibido.
«Después del acceso inicial, los afiliados de RansomHub se crean cuentas de
usuario para persistencia, reactivan cuentas deshabilitadas y utilizaron
Mimikatz en sistemas Windows para recopilar credenciales [T1003] y escalar
privilegios a SYSTEM»,
se lee en el aviso del gobierno de EE.UU.
Se ha observado que este grupo de ciberdelincuentes utiliza herramientas
diseñada para finalizar el software de detección y respuesta de puntos finales
(EDR) en hosts comprometidos, uniéndose a otros programas similares como
AuKill
(también conocido como AvNeutralizer) y
Terminator.
«Luego, los afiliados se mueven lateralmente dentro de la red a través de
métodos que incluyen el Protocolo de escritorio remoto (RDP), PsExec,
AnyDesk, Connectwise, N-Able, Cobalt Strike, Metasploit u otros métodos de
comando y control (C2) ampliamente utilizados».
Otro aspecto notable de los ataques RansomHub es el uso de cifrado
intermitente para acelerar el proceso, con filtración de datos observada a
través de herramientas como PuTTY, repositorios S3 de Amazon AWS, solicitudes
HTTP POST, WinSCP, Rclone, Cobalt Strike, Metasploit y otros métodos.
Fuente:
THN