Los actores de amenazas vinculados al grupo de ransomware RansomHub cifraron y exfiltraron datos de al menos 210 víctimas desde su creación en febrero de 2024, dijo el gobierno de Estados Unidos.
Las víctimas pertenecen a diversos sectores, incluidos el agua y las aguas residuales, la tecnología de la información, los servicios e instalaciones gubernamentales, la atención sanitaria y la salud pública, los servicios de emergencia, la alimentación y la agricultura, los servicios financieros, las instalaciones comerciales, la fabricación crítica, el transporte y la infraestructura crítica de comunicaciones.
“RansomHub es una variante de ransomware como servicio, anteriormente conocida como Cyclops y Knight, que se ha establecido como un modelo de servicio eficiente y exitoso (recientemente atrajo a afiliados de alto perfil de otras variantes prominentes como LockBit y ALPHV)”, dijeron agencias gubernamentales. dicho.
Una variante de ransomware como servicio (RaaS) descendiente de Cyclops y Knight, la operación de delito electrónico ha atraído afiliados de alto perfil de otras variantes prominentes como LockBit y ALPHV (también conocido como BlackCat) luego de una reciente ola de acciones de aplicación de la ley.
ZeroFox, en un análisis publicado a fines del mes pasado, dijo que la actividad de RansomHub como proporción de toda la actividad de ransomware observada por el proveedor de ciberseguridad está en una trayectoria ascendente, representando aproximadamente el 2% de todos los ataques en el primer trimestre de 2024, el 5,1% en el segundo trimestre y el 14,2% hasta ahora en el tercer trimestre.
“Aproximadamente el 34% de los ataques de RansomHub se han dirigido a organizaciones en Europa, en comparación con el 25% en todo el panorama de amenazas”, dijo la empresa. anotado.
Se sabe que el grupo emplea el modelo de doble extorsión para extraer datos y cifrar sistemas con el fin de extorsionar a las víctimas, a las que se les insta a ponerse en contacto con los operadores a través de una URL exclusiva .onion. Las empresas atacadas que se niegan a acceder a la exigencia de rescate ven su información publicada en el sitio de filtración de datos durante un período de entre tres y 90 días.
El acceso inicial a los entornos de las víctimas se facilita explotando vulnerabilidades de seguridad conocidas en Apache ActiveMQ (CVE-2023-46604), Centro de datos y servidor Atlassian Confluence (CVE-2023-22515), Citrix ADC (CVE-2023-3519), F5 BIG-IP (CVE-2023-46747), Fortinet FortiOS (CVE-2023-27997) y Fortinet FortiClientEMS (CVE-2023-48788) dispositivos, entre otros.
Este paso es seguido por la realización de reconocimiento y escaneo de la red por parte de los afiliados mediante programas como AngryIPScanner, Nmap y otros métodos de “living off-the-land” (LotL). Los ataques de RansomHub también implican la desactivación del software antivirus mediante herramientas personalizadas para pasar desapercibidos.
“Tras el acceso inicial, los afiliados de RansomHub crearon cuentas de usuario para persistencia, volvieron a habilitar cuentas deshabilitadas y usaron Mimikatz en sistemas Windows para recopilar credenciales. [T1003] y escalar privilegios al SISTEMA”, se lee en el aviso del gobierno estadounidense.
“Los afiliados luego se movieron lateralmente dentro de la red a través de métodos que incluían el Protocolo de Escritorio Remoto (RDP), PsExec, AnyDesk, Connectwise, N-Able, Cobalt Strike, Metasploit u otros métodos de comando y control (C2) ampliamente utilizados”.
Otro aspecto notable de los ataques de RansomHub es el uso de cifrado intermitente para acelerar el proceso, con exfiltración de datos observada a través de herramientas como PuTTY, buckets de Amazon AWS S3, solicitudes HTTP POST, WinSCP, Rclone, Cobalt Strike, Metasploit y otros métodos.
El desarrollo se produce cuando la Unidad 42 de Palo Alto Networks desveló las tácticas asociadas con el ransomware ShinyHunters, al que rastrea como Bling Libra, destacando su cambio hacia la extorsión de las víctimas en lugar de su táctica tradicional de vender o publicar datos robados. El actor de amenazas Salió a la luz por primera vez en 2020.
“El grupo adquiere credenciales legítimas, provenientes de repositorios públicos, para obtener acceso inicial al entorno de Amazon Web Services (AWS) de una organización”, dijeron los investigadores de seguridad Margaret Zimmermann y Chandni Vaya. dicho.
“Si bien los permisos asociados con las credenciales comprometidas limitaron el impacto de la violación, Bling Libra se infiltró en el entorno de AWS de la organización y realizó operaciones de reconocimiento. El grupo de actores de amenazas utilizó herramientas como Amazon Simple Storage Service (S3) Browser y WinSCP para recopilar información sobre las configuraciones de los buckets de S3, acceder a los objetos de S3 y eliminar datos”.
También sigue una evolución significativa en los ataques de ransomware, que han ido más allá del cifrado de archivos para emplear estrategias de extorsión complejas y multifacéticas, empleando incluso esquemas de extorsión triples y cuádruples, según SOCRadar.
“La triple extorsión aumenta la apuesta, amenazando con medios adicionales de interrupción más allá del cifrado y la exfiltración”, dijo la empresa. dicho.
“Esto podría implicar llevar a cabo un ataque DDoS contra los sistemas de la víctima o extender amenazas directas a los clientes, proveedores u otros asociados de la víctima para causar más daño operativo y de reputación a aquellos que finalmente son el objetivo del plan de extorsión”.
La extorsión cuádruple aumenta la apuesta al contactar a terceros que tienen relaciones comerciales con las víctimas y extorsionarlos, o amenazar a las víctimas con exponer datos de terceros para aumentar aún más la presión sobre la víctima para que pague.
La naturaleza lucrativa de los modelos RaaS ha impulsado un aumento de nuevas variantes de ransomware como Allarich, Cronos, CiberVolk, Datos negros, Agarre mortal, Ojo de halcóny InsomTambién ha llevado a los actores del Estado-nación iraní a colaborar con grupos conocidos como NoEscape, RansomHouse y BlackCat a cambio de una parte de las ganancias ilícitas.