RECIÉN PUBLICADO

Vectra AI es nombrada Líder en el Cuadrante Mágico de Gartner 2025 para Detección y Respuesta de Redes (NDR). Descargar informe. >

Investigación

Conocimientos expertos de nuestros científicos de datos, investigadores de seguridad e ingenieros para apoyar su aprendizaje.

Información de expertos sobre amenazas y defensas emergentes

Obtenga información sobre IA para una detección de amenazas más inteligente

Boletines de amenazas y sesiones informativas para una defensa proactiva

Únase a nuestros investigadores de seguridad, científicos de datos y analistas para compartir más de 11 años de investigación y experiencia en seguridad e inteligencia artificial con la comunidad mundial de ciberseguridad.

Recursos

Noticias de última hora y opiniones de expertos.

Blue Team Workshops, seminarios web a la carta y eventos mundiales cerca de usted.

Informes de investigación, anatomías de ataque, libros blancos, guías, fichas técnicas e historias de clientes.

Explicaciones detalladas de los problemas de ciberseguridad más críticos de la actualidad, técnicas de ataque y estrategias de mitigación.

Vídeos de demostración y visitas

Vea la plataforma Vectra AI en acción.

Vea cómo la señal integrada de Vectra AI le permite ver y detener ataques sofisticados que otras tecnologías pasan por alto.

Visita interactiva

Empresa

Descubra por qué somos líderes mundiales en seguridad de IA

Solicite una entrevista con un experto en seguridad de Vectra AI

Guías de implantación, base de conocimientos, notas de la versión y anuncios de seguridad

Conocimiento experto de investigadores de seguridad, científicos de datos e ingenieros

Noticias de última hora de Vectra AI

Press materials, leadership bios, logos and product images for media use

Únete al equipo que está detrás de la primera plataforma de ciberseguridad basada en IA del mundo

Más allá de la perfección de la configuración: Redefinición de la "seguridadCloud

No basta con corregir los errores de configuración. Centrarse demasiado en la perfección puede crear puntos ciegos. Descubra un enfoque más inteligente y holístico de la seguridad cloud .

Seguir leyendo

RansomHub

RansomHub was a ransomware-as-a-service (RaaS) variant, previously known as Cyclops and Knight.

Detectar las TTP de RansomHub

Is Your Organization Safe from Cyber Attacks?

Antecedentes y objetivos

El origen de RansomHub

Emerging in February 2024, the group has encrypted and exfiltrated data from over 210 victims, leveraging high-profile affiliates from other ransomware groups such as LockBit and ALPHV. RansomHub's operation focused on a double extortion model, where affiliates encrypt systems and exfiltrate data, threatening to publish stolen data if ransoms are not paid. The group was known for its professionalism and technical sophistication. RansomHub was last seen in March 2025.

Países objetivo de RansomHub

RansomHub had a global reach, with victims primarily in the United States and Europe, focusing on critical infrastructure and key industries.

The group claimed to avoid targeting the Commonwealth of Independent States (CIS), Cuba, North Korea, and China, likely due to operational safe havens or legal protections.

Industrias objetivo de RansomHub

RansomHub se dirige a una amplia gama de industrias, siendo los principales sectores los servicios empresariales, el comercio minorista y la industria manufacturera. Otros sectores afectados con frecuencia son los servicios educativos, la administración pública, las finanzas, la construcción, la sanidad, la tecnología y las infraestructuras críticas. El hecho de que el grupo se centre en sectores críticos pone de manifiesto su amplio alcance operativo, que supone una amenaza significativa tanto para entidades públicas como privadas.

A pesar de la eficacia del grupo, afirman no tener como objetivo las organizaciones sin ánimo de lucro.

Healthcare

Financial Services and Banking

Critical National Infrastructure (CNI)

Energy and Utilities

Víctimas de RansomHub

Over 844 organizations have fallen victim to RansomHub since its emergence, with a notable focus on public infrastructure, including healthcare systems and government facilities. These attacks disrupted vital services, leading to significant operational downtimes and substantial ransom demands.

Método de ataque

Método de ataque de RansomHub

Una figura sombría tiende una amplia red sobre un paisaje digital repleto de diversos dispositivos, como ordenadores, teléfonos inteligentes y tabletas. La red simboliza los intentos del atacante de encontrar vulnerabilidades o utilizar técnicas de phishing para obtener acceso no autorizado.

RansomHub affiliates gained access through phishing emails, exploiting vulnerabilities, and password spraying. Common vulnerabilities exploited include CVE-2023-3519 (Citrix ADC), CVE-2023-27997 (Fortinet), and CVE-2020-1472 (Netlogon privilege escalation).

Una escalera digital que se extiende hacia arriba desde un icono de usuario básico hacia una corona que simboliza privilegios administrativos. Esto representa los esfuerzos del atacante para obtener acceso de nivel superior dentro del sistema.

Once inside, affiliates escalated privileges using tools like Mimikatz, enabling full control over compromised systems.

Un camaleón que se funde con un fondo digital, con ceros y unos fluyendo a su alrededor. Representa la capacidad del atacante para evitar ser detectado por las medidas de seguridad, cambiando de táctica para mezclarse con el tráfico normal de la red.

They disabled security tools, clear logs, and renamed ransomware executables to blend into system files, evading detection.

Un ladrón con una ganzúa trabajando en un ojo de cerradura gigante con forma de formulario de inicio de sesión, que representa los esfuerzos del atacante por robar credenciales de usuario para obtener acceso no autorizado.

Using credential dumping tools and password spraying, affiliates gathered administrative credentials to access high-value systems.

Una lupa moviéndose sobre un mapa digital de una red, resaltando archivos, carpetas y conexiones de red. Esta imagen representa la fase en la que los atacantes exploran el entorno para comprender la estructura y dónde residen los datos valiosos.

Network reconnaissance was conducted using tools like Nmap and PowerShell to identify valuable targets and plan further exploitation.

Una serie de nodos interconectados con una figura sombría moviéndose sigilosamente entre ellos. Esto ilustra los movimientos del atacante dentro de la red, buscando obtener el control de sistemas adicionales o propagarse malware.

Affiliates moved laterally using tools like Remote Desktop Protocol (RDP), PsExec, and AnyDesk, gaining access to additional systems within the network.

Una gran aspiradora aspira archivos, iconos de datos y carpetas en una bolsa sostenida por una figura sombría. Esta imagen simboliza el proceso de recopilación de datos valiosos de la red objetivo.

Sensitive data was exfiltrated using tools like Rclone and WinSCP, often for double extortion purposes, where the stolen data was used as leverage in ransom negotiations.

Una ventana de símbolo del sistema abierta delante de un fondo digital, con código malicioso siendo tecleado. Esto representa la fase en la que los atacantes ejecutan su carga maliciosa en el sistema comprometido.

The ransomware was executed across the victim’s network, encrypting files using Curve 25519 elliptic-curve encryption.

Una serie de archivos que se canalizan a través de un canal encubierto desde un ordenador a una dirección cloud etiquetada con una calavera, que simboliza la transferencia no autorizada de datos a un lugar controlado por el atacante.

Data was exfiltrated through encrypted protocols, cloud accounts, or direct transfers to attacker-controlled servers.

Una pantalla agrietada con un paisaje urbano digital en caos detrás, que simboliza el impacto destructivo del ciberataque, como la interrupción del servicio, la destrucción de datos o las pérdidas financieras.

RansomHub’s encryption rendered victim systems inoperable, often leading to extensive operational downtime. Affiliates deleted backups and volume shadow copies to prevent recovery efforts, maximizing the pressure on victims to pay the ransom.

Acceso inicial

Escalada de privilegios

Once inside, affiliates escalated privileges using tools like Mimikatz, enabling full control over compromised systems.

Defensa Evasión

They disabled security tools, clear logs, and renamed ransomware executables to blend into system files, evading detection.

Acceso con credenciales

Using credential dumping tools and password spraying, affiliates gathered administrative credentials to access high-value systems.

Descubrimiento

Network reconnaissance was conducted using tools like Nmap and PowerShell to identify valuable targets and plan further exploitation.

Movimiento lateral

Affiliates moved laterally using tools like Remote Desktop Protocol (RDP), PsExec, and AnyDesk, gaining access to additional systems within the network.

Colección

Sensitive data was exfiltrated using tools like Rclone and WinSCP, often for double extortion purposes, where the stolen data was used as leverage in ransom negotiations.

Ejecución

The ransomware was executed across the victim’s network, encrypting files using Curve 25519 elliptic-curve encryption.

Exfiltración

Data was exfiltrated through encrypted protocols, cloud accounts, or direct transfers to attacker-controlled servers.

Impacto

MITRE ATT&CK Cartografía

TTPs utilizados por RansomHub

TA0001: Initial Access

T1566

Phishing

T1190

Exploit Public-Facing Application

TA0002: Execution

T1059

Command and Scripting Interpreter

TA0003: Persistence

No items found.

TA0004: Privilege Escalation

No items found.

TA0005: Defense Evasion

T1562

Impair Defenses

TA0006: Credential Access

T1003

OS Credential Dumping

TA0007: Discovery

No items found.

TA0008: Lateral Movement

T1021

Remote Services

TA0009: Collection

No items found.

TA0011: Command and Control

No items found.

TA0010: Exfiltration

T1048

Exfiltration Over Alternative Protocol

TA0040: Impact

T1486

Data Encrypted for Impact

Detección de plataformas

How to Detect Threat Actors with Vectra AI

Azure AD MFA-Failed Suspicious Sign-On

Azure AD Privilege Operation Anomaly

M365 Suspect Power Automate Activity

Privilege Anomaly: Unusual Host

Ransomware File Activity

Suspicious Remote Desktop Protocol

Ver más detecciones

Evalúe su exposición a los ataques

Preguntas frecuentes

¿A qué sectores se dirige principalmente RansomHub?

RansomHub ataca sectores de infraestructuras críticas como la sanidad, los servicios financieros y las instalaciones gubernamentales.

¿Cuáles son los países más afectados por RansomHub?

El grupo se dirige principalmente a organizaciones de Estados Unidos y Europa, evitando los países de la CEI, Cuba, Corea del Norte y China.

¿Cómo obtiene RansomHub el acceso inicial?

Los afiliados explotan vulnerabilidades conocidas, utilizan ataques a phishing y aprovechan credenciales robadas para infiltrarse en los sistemas.

¿Cuáles son los métodos de exfiltración de datos de RansomHub?

Utilizan herramientas como Rclone y WinSCP para filtrar datos confidenciales a través de canales cifrados.

¿Cómo aumenta RansomHub los privilegios dentro de una red?

Los afiliados utilizan herramientas como Mimikatz para extraer credenciales y escalar a privilegios a nivel de sistema.

¿Qué método de cifrado utiliza RansomHub?

Los afiliados a RansomHub utilizan el cifrado de curva elíptica Curve 25519 para bloquear los archivos de las víctimas.

¿Cómo evitan ser detectados los afiliados a RansomHub?

Desactivan las herramientas de seguridad, borran los registros y cambian el nombre de los ejecutables del ransomware para confundirlos con archivos legítimos.

¿Qué herramientas utiliza RansomHub para el movimiento lateral?

Herramientas como Remote Desktop Protocol (RDP), AnyDesk y PsExec se utilizan para moverse lateralmente dentro de redes comprometidas.

¿Qué estrategias de mitigación pueden ayudar a prevenir los ataques de RansomHub?

La implantación de una autenticación multifactor (AMF) resistente a phishing, la aplicación de parches a las vulnerabilidades y la segmentación de las redes son estrategias de mitigación clave.

¿Cuál es el impacto de un ataque RansomHub?

Las víctimas suelen sufrir importantes periodos de inactividad y pérdidas de datos debido al cifrado y a la eliminación de las copias de seguridad, lo que provoca una parálisis operativa y elevadas peticiones de rescate.

RansomHub

El origen de RansomHub

Países objetivo de RansomHub

Industrias objetivo de RansomHub

Healthcare

Financial Services and Banking

Critical National Infrastructure (CNI)

Energy and Utilities

Víctimas de RansomHub

Método de ataque de RansomHub

TTPs utilizados por RansomHub

How to Detect Threat Actors with Vectra AI

Azure AD MFA-Failed Suspicious Sign-On

Azure AD Privilege Operation Anomaly

M365 Suspect Power Automate Activity

Privilege Anomaly: Unusual Host

Ransomware File Activity

Suspicious Remote Desktop Protocol

Is Your Organization Safe from Cyber Attacks?

Preguntas frecuentes

¿A qué sectores se dirige principalmente RansomHub?

¿Cuáles son los países más afectados por RansomHub?

¿Cómo obtiene RansomHub el acceso inicial?

¿Cuáles son los métodos de exfiltración de datos de RansomHub?

¿Cómo aumenta RansomHub los privilegios dentro de una red?

¿Qué método de cifrado utiliza RansomHub?

¿Cómo evitan ser detectados los afiliados a RansomHub?

¿Qué herramientas utiliza RansomHub para el movimiento lateral?

¿Qué estrategias de mitigación pueden ayudar a prevenir los ataques de RansomHub?

¿Cuál es el impacto de un ataque RansomHub?