RECIÉN PUBLICADO

Automatice la contención de ataques híbridos con 360 Response >

Plataforma

La plataforma NDR que protege las redes modernas de los ataques modernos.

Dote a sus analistas de seguridad de información para detener los ataques con rapidez. Attack Signal Intelligence analiza en tiempo real para mostrarle dónde está en peligro ahora mismo.

Modernización del SOC

Ciberresiliencia

Gestión de riesgos

Vea cómo los atacantes modernos aprovechan las brechas en sus defensas y qué puede hacer para detenerlos.

Detener el avance del atacante

Contención reforzada en identidades, dispositivos y tráfico de red con 360 Response.

Más información

Panel de control de ciberseguridad de Vectra AI una investigación de detección con detalles del perfil del ataque, factores de puntuación y un gráfico de red de actividades sospechosas.

Compare la Vectra AI con otras herramientas

Las herramientas de EDR, SIEM, SASE, SSE y cloud nativa cloud dejan huecos que los atacantes modernos aprovechan. La Vectra AI los cierra.

Más información

Clientes

Centro de asistencia

Servicios profesionales

Vectra AI AI es nombrada líder en el Cuadrante Mágico™ de Gartner® de 2025 para NDR

La NDR ya no es opcional: es imprescindible para detectar los ataques modernos. Descubra por qué Gartner ha reconocido a Vectra AI como líder tanto en visión como en capacidad de ejecución.

Descargar

Acceso de clientes

Investigación

Conocimientos expertos de nuestros científicos de datos, investigadores de seguridad e ingenieros para apoyar su aprendizaje.

Información de expertos sobre amenazas y defensas emergentes

Obtenga información sobre IA para una detección de amenazas más inteligente

Boletines de amenazas y sesiones informativas para una defensa proactiva

Únase a nuestros investigadores de seguridad, científicos de datos y analistas para compartir más de 11 años de investigación y experiencia en seguridad e inteligencia artificial con la comunidad mundial de ciberseguridad.

Recursos

Noticias de última hora y opiniones de expertos.

Blue Team Workshops, seminarios web a la carta y eventos mundiales cerca de usted.

Informes de investigación, anatomías de ataque, libros blancos, guías, fichas técnicas e historias de clientes.

Explicaciones detalladas de los problemas de ciberseguridad más críticos de la actualidad, técnicas de ataque y estrategias de mitigación.

Vídeos de demostración y visitas

Vea la plataforma Vectra AI en acción.

Vea cómo la señal integrada de Vectra AI le permite ver y detener ataques sofisticados que otras tecnologías pasan por alto.

Visita interactiva

Empresa

Descubra por qué somos líderes mundiales en seguridad de IA

Solicite una entrevista con un experto en seguridad de Vectra AI

Guías de implantación, base de conocimientos, notas de la versión y anuncios de seguridad

Conocimiento experto de investigadores de seguridad, científicos de datos e ingenieros

Noticias de última hora de Vectra AI

Materiales de prensa, biografías de los líderes, logotipos e imágenes de productos para uso de los medios de comunicación.

Únete al equipo que está detrás de la primera plataforma de ciberseguridad basada en IA del mundo

Más allá de la perfección de la configuración: Redefinición de la "seguridadCloud

No basta con corregir los errores de configuración. Centrarse demasiado en la perfección puede crear puntos ciegos. Descubra un enfoque más inteligente y holístico de la seguridad cloud .

Seguir leyendo

RansomHub

RansomHub era una variante de ransomware como servicio (RaaS), anteriormente conocida como Cyclops y Knight.

Detectar las TTP de RansomHub

¿Está su organización a salvo de los ciberataques?

Antecedentes y objetivos

El origen de RansomHub

Aparecido en febrero de 2024, el grupo ha cifrado y filtrado datos de más de 210 víctimas, aprovechando la colaboración de afiliados de alto perfil de otros grupos de ransomware como LockBit y ALPHV. La operación de RansomHub se centró en un modelo de doble extorsión, en el que los afiliados cifran los sistemas y filtran los datos, amenazando con publicar los datos robados si no se pagan los rescates. El grupo era conocido por su profesionalidad y sofisticación técnica. RansomHub fue visto por última vez en marzo de 2025.

Países objetivo de RansomHub

RansomHub tenía un alcance global, con víctimas principalmente en Estados Unidos y Europa, centrándose en infraestructuras críticas e industrias clave.

El grupo afirmó evitar atacar a la Comunidad de Estados Independientes (CEI), Cuba, Corea del Norte y China, probablemente debido a refugios operativos o protecciones legales.

Industrias objetivo de RansomHub

RansomHub se dirige a una amplia gama de industrias, siendo los principales sectores los servicios empresariales, el comercio minorista y la industria manufacturera. Otros sectores afectados con frecuencia son los servicios educativos, la administración pública, las finanzas, la construcción, la sanidad, la tecnología y las infraestructuras críticas. El hecho de que el grupo se centre en sectores críticos pone de manifiesto su amplio alcance operativo, que supone una amenaza significativa tanto para entidades públicas como privadas.

A pesar de la eficacia del grupo, afirman no tener como objetivo las organizaciones sin ánimo de lucro.

Healthcare

Financial Services and Banking

Critical National Infrastructure (CNI)

Energy and Utilities

Víctimas de RansomHub

Más de 844 organizaciones han sido víctimas de RansomHub desde su aparición, con un enfoque notable en la infraestructura pública, incluidos los sistemas de salud y las instalaciones gubernamentales. Estos ataques interrumpieron servicios vitales, lo que provocó importantes interrupciones operativas y sustanciales demandas de rescate.

Método de ataque

Método de ataque de RansomHub

Una figura sombría tiende una amplia red sobre un paisaje digital repleto de diversos dispositivos, como ordenadores, teléfonos inteligentes y tabletas. La red simboliza los intentos del atacante de encontrar vulnerabilidades o utilizar técnicas de phishing para obtener acceso no autorizado.

Los afiliados de RansomHub obtuvieron acceso mediante phishing , aprovechando vulnerabilidades y mediante el método de «spray de contraseñas». Entre las vulnerabilidades más comunes explotadas se incluyen CVE-2023-3519 (Citrix ADC), CVE-2023-27997 (Fortinet) y CVE-2020-1472 (escalada de privilegios de Netlogon).

Una escalera digital que se extiende hacia arriba desde un icono de usuario básico hacia una corona que simboliza privilegios administrativos. Esto representa los esfuerzos del atacante para obtener acceso de nivel superior dentro del sistema.

Una vez dentro, los afiliados aumentaron sus privilegios utilizando herramientas como Mimikatz, lo que les permitió obtener el control total sobre los sistemas comprometidos.

Un camaleón que se funde con un fondo digital, con ceros y unos fluyendo a su alrededor. Representa la capacidad del atacante para evitar ser detectado por las medidas de seguridad, cambiando de táctica para mezclarse con el tráfico normal de la red.

Desactivaron las herramientas de seguridad, borraron los registros y renombraron los ejecutables del ransomware para que se mezclaran con los archivos del sistema, evadiendo así la detección.

Un ladrón con una ganzúa trabajando en un ojo de cerradura gigante con forma de formulario de inicio de sesión, que representa los esfuerzos del atacante por robar credenciales de usuario para obtener acceso no autorizado.

Mediante herramientas de volcado de credenciales y pulverización de contraseñas, los afiliados recopilaron credenciales administrativas para acceder a sistemas de alto valor.

Una lupa moviéndose sobre un mapa digital de una red, resaltando archivos, carpetas y conexiones de red. Esta imagen representa la fase en la que los atacantes exploran el entorno para comprender la estructura y dónde residen los datos valiosos.

Se llevó a cabo un reconocimiento de la red utilizando herramientas como Nmap y PowerShell para identificar objetivos valiosos y planificar una mayor explotación.

Una serie de nodos interconectados con una figura sombría moviéndose sigilosamente entre ellos. Esto ilustra los movimientos del atacante dentro de la red, buscando obtener el control de sistemas adicionales o propagarse malware.

Los afiliados se movieron lateralmente utilizando herramientas como el Protocolo de Escritorio Remoto (RDP), PsExec y AnyDesk, obteniendo acceso a sistemas adicionales dentro de la red.

Una gran aspiradora aspira archivos, iconos de datos y carpetas en una bolsa sostenida por una figura sombría. Esta imagen simboliza el proceso de recopilación de datos valiosos de la red objetivo.

Los datos confidenciales se filtraron utilizando herramientas como Rclone y WinSCP, a menudo con fines de doble extorsión, en los que los datos robados se utilizaban como moneda de cambio en las negociaciones para el pago del rescate.

Una ventana de símbolo del sistema abierta delante de un fondo digital, con código malicioso siendo tecleado. Esto representa la fase en la que los atacantes ejecutan su carga maliciosa en el sistema comprometido.

El ransomware se ejecutó en toda la red de la víctima, cifrando los archivos mediante el cifrado de curva elíptica Curve 25519.

Una serie de archivos que se canalizan a través de un canal encubierto desde un ordenador a una dirección cloud etiquetada con una calavera, que simboliza la transferencia no autorizada de datos a un lugar controlado por el atacante.

Los datos se filtraron a través de protocolos cifrados, cloud o transferencias directas a servidores controlados por los atacantes.

Una pantalla agrietada con un paisaje urbano digital en caos detrás, que simboliza el impacto destructivo del ciberataque, como la interrupción del servicio, la destrucción de datos o las pérdidas financieras.

El cifrado de RansomHub inutilizó los sistemas de las víctimas, lo que a menudo provocó un prolongado tiempo de inactividad operativa. Los afiliados eliminaron las copias de seguridad y las instantáneas de volumen para impedir los esfuerzos de recuperación, lo que aumentó al máximo la presión sobre las víctimas para que pagaran el rescate.

Acceso inicial

Escalada de privilegios

Una vez dentro, los afiliados aumentaron sus privilegios utilizando herramientas como Mimikatz, lo que les permitió obtener el control total sobre los sistemas comprometidos.

Defensa Evasión

Desactivaron las herramientas de seguridad, borraron los registros y renombraron los ejecutables del ransomware para que se mezclaran con los archivos del sistema, evadiendo así la detección.

Acceso con credenciales

Mediante herramientas de volcado de credenciales y pulverización de contraseñas, los afiliados recopilaron credenciales administrativas para acceder a sistemas de alto valor.

Descubrimiento

Se llevó a cabo un reconocimiento de la red utilizando herramientas como Nmap y PowerShell para identificar objetivos valiosos y planificar una mayor explotación.

Movimiento lateral

Los afiliados se movieron lateralmente utilizando herramientas como el Protocolo de Escritorio Remoto (RDP), PsExec y AnyDesk, obteniendo acceso a sistemas adicionales dentro de la red.

Colección

Ejecución

El ransomware se ejecutó en toda la red de la víctima, cifrando los archivos mediante el cifrado de curva elíptica Curve 25519.

Exfiltración

Los datos se filtraron a través de protocolos cifrados, cloud o transferencias directas a servidores controlados por los atacantes.

Impacto

MITRE ATT&CK Cartografía

TTPs utilizados por RansomHub

TA0001: Initial Access

T1566

Phishing

T1190

Exploit Public-Facing Application

TA0002: Execution

T1059

Command and Scripting Interpreter

TA0003: Persistence

No items found.

TA0004: Privilege Escalation

No items found.

TA0005: Defense Evasion

T1562

Impair Defenses

TA0006: Credential Access

T1003

OS Credential Dumping

TA0007: Discovery

No items found.

TA0008: Lateral Movement

T1021

Remote Services

TA0009: Collection

No items found.

TA0011: Command and Control

No items found.

TA0010: Exfiltration

T1048

Exfiltration Over Alternative Protocol

TA0040: Impact

T1486

Data Encrypted for Impact

Detección de plataformas

Cómo detectar actores maliciosos con Vectra AI

Azure AD MFA-Failed Suspicious Sign-On

Azure AD Privilege Operation Anomaly

M365 Suspect Power Automate Activity

Privilege Anomaly: Unusual Host

Ransomware File Activity

Suspicious Remote Desktop Protocol

Ver más detecciones

Evalúe su exposición a los ataques

Preguntas frecuentes

¿A qué sectores se dirige principalmente RansomHub?

RansomHub ataca sectores de infraestructuras críticas como la sanidad, los servicios financieros y las instalaciones gubernamentales.

¿Cuáles son los países más afectados por RansomHub?

El grupo se dirige principalmente a organizaciones de Estados Unidos y Europa, evitando los países de la CEI, Cuba, Corea del Norte y China.

¿Cómo obtiene RansomHub el acceso inicial?

Los afiliados explotan vulnerabilidades conocidas, utilizan ataques a phishing y aprovechan credenciales robadas para infiltrarse en los sistemas.

¿Cuáles son los métodos de exfiltración de datos de RansomHub?

Utilizan herramientas como Rclone y WinSCP para filtrar datos confidenciales a través de canales cifrados.

¿Cómo aumenta RansomHub los privilegios dentro de una red?

Los afiliados utilizan herramientas como Mimikatz para extraer credenciales y escalar a privilegios a nivel de sistema.

¿Qué método de cifrado utiliza RansomHub?

Los afiliados a RansomHub utilizan el cifrado de curva elíptica Curve 25519 para bloquear los archivos de las víctimas.

¿Cómo evitan ser detectados los afiliados a RansomHub?

Desactivan las herramientas de seguridad, borran los registros y cambian el nombre de los ejecutables del ransomware para confundirlos con archivos legítimos.

¿Qué herramientas utiliza RansomHub para el movimiento lateral?

Herramientas como Remote Desktop Protocol (RDP), AnyDesk y PsExec se utilizan para moverse lateralmente dentro de redes comprometidas.

¿Qué estrategias de mitigación pueden ayudar a prevenir los ataques de RansomHub?

La implantación de una autenticación multifactor (AMF) resistente a phishing, la aplicación de parches a las vulnerabilidades y la segmentación de las redes son estrategias de mitigación clave.

¿Cuál es el impacto de un ataque RansomHub?

Las víctimas suelen sufrir importantes periodos de inactividad y pérdidas de datos debido al cifrado y a la eliminación de las copias de seguridad, lo que provoca una parálisis operativa y elevadas peticiones de rescate.

RansomHub

El origen de RansomHub

Países objetivo de RansomHub

Industrias objetivo de RansomHub

Healthcare

Financial Services and Banking

Critical National Infrastructure (CNI)

Energy and Utilities

Víctimas de RansomHub

Método de ataque de RansomHub

TTPs utilizados por RansomHub

Cómo detectar actores maliciosos con Vectra AI

Azure AD MFA-Failed Suspicious Sign-On

Azure AD Privilege Operation Anomaly

M365 Suspect Power Automate Activity

Privilege Anomaly: Unusual Host

Ransomware File Activity

Suspicious Remote Desktop Protocol

¿Está su organización a salvo de los ciberataques?

Preguntas frecuentes

¿A qué sectores se dirige principalmente RansomHub?

¿Cuáles son los países más afectados por RansomHub?

¿Cómo obtiene RansomHub el acceso inicial?

¿Cuáles son los métodos de exfiltración de datos de RansomHub?

¿Cómo aumenta RansomHub los privilegios dentro de una red?

¿Qué método de cifrado utiliza RansomHub?

¿Cómo evitan ser detectados los afiliados a RansomHub?

¿Qué herramientas utiliza RansomHub para el movimiento lateral?

¿Qué estrategias de mitigación pueden ayudar a prevenir los ataques de RansomHub?

¿Cuál es el impacto de un ataque RansomHub?