Los actores de amenazas vinculados al grupo de ransomware RansomHub han cifrado y exfiltrado datos de al menos 210 víctimas desde su inicio en febrero de 2024.

Las víctimas abarcan varios sectores, incluidos agua y aguas residuales, tecnología de la información, servicios e instalaciones gubernamentales, atención médica y salud pública, servicios de emergencia, alimentación y agricultura, servicios financieros, instalaciones comerciales, manufactura crítica, transporte e infraestructura crítica de comunicaciones.

RansomHub salió a la luz por primera vez en 2020 y es una plataforma de ransomware como servicio (RaaS) descendiente de Cyclops y Knight. Esta operación ha atraído a afiliados de alto perfil de otras variantes destacadas como LockBit y ALPHV (también conocido como BlackCat) tras una reciente ola acciones legales.

ZeroFox, en un análisis publicado a finales del mes pasado, dijo que la actividad de RansomHub está en una trayectoria ascendente, representando aproximadamente el 2% de todos los ataques en el primer trimestre de 2024; 5,1% en el segundo trimestre; y 14,2% en lo que va del tercer trimestre. "Aproximadamente el 34% de los ataques de RansomHub se han dirigido a organizaciones en Europa, en comparación con el 25% en todo el panorama de amenazas", señaló la compañía.

Se sabe que el grupo emplea el modelo de doble extorsión para exfiltrar datos y cifrar sistemas con el fin de extorsionar a las víctimas, a quienes se les anima a contactar a los operadores a través de una URL única .onion. Las empresas objetivo que se niegan a aceptar la demanda de rescate publican su información en el sitio de filtración de datos durante entre tres y 90 días.

El acceso inicial a los entornos de las víctimas se facilita mediante la explotación de vulnerabilidades de seguridad conocidas en Apache ActiveMQ (CVE-2023-46604), Atlassian Confluence Data Center and Server (CVE-2023-22515), Citrix ADC (CVE-2023-3519), F5 BIG-IP (CVE-2023-46747), Fortinet FortiOS (CVE-2023-27997), y Fortinet FortiClientEMS (CVE-2023-48788), entre otros.

A este paso le siguen los afiliados que realizan reconocimientos y escaneos de red utilizando programas como AngryIPScanner, Nmap y otros métodos LotL. Los ataques de RansomHub implican además desactivar el software antivirus utilizando herramientas personalizadas para pasar desapercibido.

"Después del acceso inicial, los afiliados de RansomHub se crean cuentas de usuario para persistencia, reactivan cuentas deshabilitadas y utilizaron Mimikatz en sistemas Windows para recopilar credenciales [T1003] y escalar privilegios a SYSTEM", se lee en el aviso del gobierno de EE.UU.

Se ha observado que este grupo de ciberdelincuentes utiliza herramientas diseñada para finalizar el software de detección y respuesta de puntos finales (EDR) en hosts comprometidos, uniéndose a otros programas similares como AuKill (también conocido como AvNeutralizer) y Terminator.

"Luego, los afiliados se mueven lateralmente dentro de la red a través de métodos que incluyen el Protocolo de escritorio remoto (RDP), PsExec, AnyDesk, Connectwise, N-Able, Cobalt Strike, Metasploit u otros métodos de comando y control (C2) ampliamente utilizados".

Otro aspecto notable de los ataques RansomHub es el uso de cifrado intermitente para acelerar el proceso, con filtración de datos observada a través de herramientas como PuTTY, repositorios S3 de Amazon AWS, solicitudes HTTP POST, WinSCP, Rclone, Cobalt Strike, Metasploit y otros métodos.

Fuente: THN