Des acteurs malveillants liés au groupe de ransomware RansomHub ont chiffré et exfiltré les données d’au moins 210 victimes depuis sa création en février 2024, a déclaré le gouvernement américain.
Les victimes proviennent de divers secteurs, notamment l’eau et les eaux usées, les technologies de l’information, les services et installations gouvernementaux, les soins de santé et la santé publique, les services d’urgence, l’alimentation et l’agriculture, les services financiers, les installations commerciales, la fabrication critique, les transports et les infrastructures essentielles aux communications.
« RansomHub est une variante de ransomware-as-a-service, anciennement connue sous le nom de Cyclops et Knight, qui s’est imposée comme un modèle de service efficace et réussi (attirant récemment des filiales de premier plan d’autres variantes importantes telles que LockBit et ALPHV) », agences gouvernementales dit.
Variante de ransomware-as-a-service (RaaS) qui est un descendant de Cyclops et Knight, l’opération de cybercriminalité a attiré des filiales de haut niveau d’autres variantes importantes telles que LockBit et ALPHV (alias BlackCat) à la suite d’une récente vague d’actions des forces de l’ordre.
ZeroFox, dans une analyse publiée à la fin du mois dernier, a déclaré que l’activité de RansomHub en proportion de toutes les activités de ransomware observées par le fournisseur de cybersécurité est sur une trajectoire ascendante, représentant environ 2 % de toutes les attaques au premier trimestre 2024, 5,1 % au deuxième trimestre et 14,2 % jusqu’à présent au troisième trimestre.
« Environ 34 % des attaques de RansomHub ont ciblé des organisations en Europe, contre 25 % dans l’ensemble du paysage des menaces », a déclaré la société. noté.
Le groupe est connu pour utiliser le modèle de double extorsion pour exfiltrer des données et crypter des systèmes afin d’extorquer de l’argent aux victimes, qui sont invitées à contacter les opérateurs via une URL unique .onion. Les entreprises ciblées qui refusent d’acquiescer à la demande de rançon voient leurs informations publiées sur le site de fuite de données pendant une période allant de trois à 90 jours.
L’accès initial aux environnements des victimes est facilité en exploitant les vulnérabilités de sécurité connues dans Apache ActiveMQ (CVE-2023-46604), Centre de données et serveur Atlassian Confluence (CVE-2023-22515), Citrix ADC (CVE-2023-3519), F5 BIG-IP (CVE-2023-46747), Fortinet FortiOS (CVE-2023-27997) et Fortinet FortiClientEMS (CVE-2023-48788) appareils, entre autres.
Cette étape est suivie par des opérations de reconnaissance et d’analyse du réseau par les affiliés à l’aide de programmes comme AngryIPScanner, Nmap et d’autres méthodes de survie (LotL). Les attaques RansomHub impliquent en outre le désarmement des logiciels antivirus à l’aide d’outils personnalisés pour passer sous le radar.
« Après l’accès initial, les affiliés de RansomHub ont créé des comptes d’utilisateurs pour la persistance, ont réactivé les comptes désactivés et ont utilisé Mimikatz sur les systèmes Windows pour collecter les informations d’identification. [T1003] et élever les privilèges au niveau SYSTEM », peut-on lire dans l’avis du gouvernement américain.
« Les affiliés se déplaçaient ensuite latéralement à l’intérieur du réseau via des méthodes telles que le protocole RDP (Remote Desktop Protocol), PsExec, AnyDesk, Connectwise, N-Able, Cobalt Strike, Metasploit ou d’autres méthodes de commandement et de contrôle (C2) largement utilisées. »
Un autre aspect notable des attaques RansomHub est l’utilisation d’un cryptage intermittent pour accélérer le processus, avec une exfiltration de données observée via des outils tels que PuTTY, les buckets Amazon AWS S3, les requêtes HTTP POST, WinSCP, Rclone, Cobalt Strike, Metasploit et d’autres méthodes.
Cette évolution intervient alors que l’unité 42 de Palo Alto Networks a décrypté les tactiques associées au ransomware ShinyHunters, qu’elle suit sous le nom de Bling Libra, soulignant son évolution vers l’extorsion des victimes par opposition à sa tactique traditionnelle de vente ou de publication de données volées. est apparu pour la première fois en 2020.
« Le groupe acquiert des informations d’identification légitimes, provenant de référentiels publics, pour obtenir un accès initial à l’environnement Amazon Web Services (AWS) d’une organisation », ont déclaré les chercheurs en sécurité Margaret Zimmermann et Chandni Vaya. dit.
« Bien que les autorisations associées aux identifiants compromis aient limité l’impact de la violation, Bling Libra a infiltré l’environnement AWS de l’organisation et mené des opérations de reconnaissance. Le groupe d’acteurs malveillants a utilisé des outils tels que le navigateur Amazon Simple Storage Service (S3) et WinSCP pour collecter des informations sur les configurations de compartiments S3, accéder aux objets S3 et supprimer des données. »
Cela fait également suite à une évolution significative des attaques de ransomware, qui sont allées au-delà du cryptage des fichiers pour employer des stratégies d’extorsion complexes et à multiples facettes, employant même des schémas d’extorsion triple et quadruple, selon SOCRadar.
« La triple extorsion augmente les enjeux, menaçant d’autres moyens de perturbation au-delà du cryptage et de l’exfiltration », a déclaré la société. dit.
« Cela peut impliquer de mener une attaque DDoS contre les systèmes de la victime ou d’étendre des menaces directes aux clients, fournisseurs ou autres associés de la victime afin de causer davantage de dommages opérationnels et de réputation aux personnes finalement ciblées par le système d’extorsion. »
L’extorsion quadruple augmente les enchères en contactant des tiers qui ont des relations commerciales avec les victimes et en les extorquant, ou en menaçant les victimes de divulguer des données de tiers pour exercer une pression supplémentaire sur une victime pour qu’elle paie.
La nature lucrative des modèles RaaS a alimenté une augmentation de nouvelles variantes de ransomware comme Allarich, Cronos, CyberVolk, Données noires, Poignée de la mort, Œil de fauconet Insom. Cela a également conduit les acteurs de l’État-nation iranien à collaborer avec des groupes connus comme NoEscape, RansomHouse et BlackCat en échange d’une part des produits illicites.