Los actores maliciosos vinculados al grupo de ransomware RansomHub han cifrado y filtrado los datos de al menos 210 víctimas desde su creación en febrero de 2024, dijo el gobierno de EE. UU.
Las víctimas provienen de una variedad de sectores, incluidos el agua y las aguas residuales, la tecnología de la información, los servicios e instalaciones gubernamentales, la atención médica y la salud pública, los servicios de emergencia, la alimentación y la agricultura, los servicios financieros, las instalaciones comerciales, la manufactura crítica, el transporte y la infraestructura de comunicaciones críticas.
“RansomHub es una variante de ransomware como servicio, anteriormente conocida como Cyclops y Knight, que se ha establecido como un modelo de servicio eficaz y exitoso (atrayendo recientemente a afiliados destacados de otras variantes destacadas como LockBit y ALPHV)”, agencias gubernamentales dicho.
Una variante de ransomware como servicio (RaaS) que desciende de Cyclops y Knight, la operación de delito cibernético ha atraído a afiliados de alto perfil de otras variantes destacadas como LockBit y ALPHV (también conocido como BlackCat) a raíz de una ola reciente. de las acciones de las fuerzas del orden.
ZeroFox, en un análisis publicado a fines del mes pasado, dijo que la actividad de RansomHub como proporción de toda la actividad de ransomware observada por el proveedor de ciberseguridad está en una trayectoria ascendente, representando aproximadamente el 2% de todos los ataques en el primer trimestre de 2024, el 5,1% en. el segundo trimestre y 14,2% en lo que va del tercer trimestre.
«Aproximadamente el 34% de los ataques de RansomHub se dirigieron a organizaciones en Europa, en comparación con el 25% en todo el panorama de amenazas», dijo la compañía. nota.
Se sabe que el grupo utiliza el modelo de doble extorsión para exfiltrar datos y cifrar sistemas con el fin de extorsionar a las víctimas, a quienes se les dirige a contactar a los operadores a través de una URL única .onion. Las empresas objetivo que se niegan a cumplir con la demanda de rescate publican su información en el sitio de filtración de datos durante un período de tres a 90 días.
El acceso inicial a los entornos de las víctimas se facilita mediante la explotación de vulnerabilidades de seguridad conocidas en Apache ActiveMQ (CVE-2023-46604), centro de datos y servidor de Atlassian Confluence (CVE-2023-22515), Citrix ADC (CVE-2023-3519), F5 BIG-IP (CVE-2023-46747), Fortinet FortiOS (CVE-2023-27997) y Fortinet FortiClientEMS (CVE-2023-48788) dispositivos, entre otros.
A este paso le sigue el reconocimiento y análisis de la red por parte de los afiliados utilizando programas como AngryIPScanner, Nmap y otros métodos de supervivencia (LotL). Los ataques de RansomHub implican además desarmar el software antivirus utilizando herramientas personalizadas para pasar desapercibido.
“Después del acceso inicial, los afiliados de RansomHub crearon cuentas de usuario para la persistencia, reactivaron cuentas deshabilitadas y utilizaron Mimikatz en sistemas Windows para recopilar credenciales. [T1003] y elevar los privilegios al nivel del SISTEMA”, se lee en el aviso del gobierno de Estados Unidos.
“Los afiliados luego se moverían lateralmente dentro de la red a través de métodos como Remote Desktop Protocol (RDP), PsExec, AnyDesk, Connectwise, N-Able, Cobalt Strike, Metasploit u otros métodos de comando y control (C2) ampliamente utilizados. »
Otro aspecto notable de los ataques RansomHub es el uso de cifrado intermitente para acelerar el proceso, con filtración de datos observada a través de herramientas como PuTTY, depósitos S3 de Amazon AWS, solicitudes HTTP POST, WinSCP, Rclone, Cobalt Strike, Metasploit y otros métodos.
El desarrollo se produce cuando la Unidad 42 de Palo Alto Networks descifró las tácticas asociadas con el ransomware ShinyHunters, que rastrea bajo el nombre Bling Libra, destacando su cambio hacia la extorsión de las víctimas en lugar de su táctica tradicional de ventas o publicación de datos robados. apareció por primera vez en 2020.
«El grupo adquiere credenciales legítimas, de repositorios públicos, para obtener acceso inicial al entorno de Amazon Web Services (AWS) de una organización», dijeron los investigadores de seguridad Margaret Zimmermann y Chandni Vaya. dicho.
“Aunque los permisos asociados con las credenciales comprometidas limitaron el impacto de la infracción, Bling Libra se infiltró en el entorno AWS de la organización y realizó un reconocimiento. El grupo de actores de amenazas utilizó herramientas como el navegador Amazon Simple Storage Service (S3) y WinSCP para recopilar información sobre las configuraciones de los depósitos de S3, acceder a objetos de S3 y eliminar datos. »
También sigue una evolución significativa en los ataques de ransomware, que han ido más allá del cifrado de archivos para emplear estrategias de extorsión complejas y multifacéticas, incluso empleando esquemas de extorsión triples y cuádruples, según SOCRadar.
«La triple extorsión aumenta las apuestas, amenazando con otros medios de interrupción más allá del cifrado y la exfiltración», dijo la compañía. dicho.
“Esto puede implicar realizar un ataque DDoS contra los sistemas de la víctima o extender amenazas directas a los clientes, proveedores u otros asociados de la víctima con el fin de causar mayores daños operativos y de reputación a aquellos que en última instancia son objeto de la ‘extorsión’ del sistema. »
La extorsión cuádruple sube la apuesta al contactar a terceros que tienen tratos comerciales con las víctimas y extorsionarlas, o amenazar a las víctimas con la divulgación de datos de terceros para ejercer presión adicional sobre la víctima para que pague.
La naturaleza lucrativa de los modelos RaaS ha impulsado un aumento de nuevas variantes de ransomware como Allarich, Cronos, CyberVolk, datos negros, Agarre mortal, Ojo de halcónY insomnio. Esto también llevó a los actores del Estado-nación iraníes a colaborar con grupos conocidos como NoEscape, RansomHouse y BlackCat a cambio de una parte de las ganancias ilícitas.
