RansomHub
RansomHub es una variante de ransomware como servicio (RaaS), conocida anteriormente como Cyclops y Knight.
El origen de RansomHub
Surgido en febrero de 2024, el grupo ha cifrado y exfiltrado datos de más de 210 víctimas, aprovechando afiliados de alto perfil de otros grupos de ransomware como LockBit y ALPHV. La operación de RansomHub se centra en un modelo de doble extorsión, en el que los afiliados cifran sistemas y exfiltran datos, amenazando con publicar los datos robados si no se pagan los rescates. El grupo es conocido por su profesionalidad y sofisticación técnica.
Países objetivo de RansomHub
RansomHub tiene un alcance mundial, con víctimas principalmente en Estados Unidos y Europa, y se centra en infraestructuras críticas e industrias clave.
El grupo afirma que evita atacar a la Comunidad de Estados Independientes (CEI), Cuba, Corea del Norte y China, probablemente debido a la existencia de refugios operativos o protecciones legales.
Fuente de la cifra: Cyberint
Industrias objetivo de RansomHub
RansomHub se dirige a una amplia gama de industrias, siendo los principales sectores los servicios empresariales, el comercio minorista y la industria manufacturera. Otros sectores afectados con frecuencia son los servicios educativos, la administración pública, las finanzas, la construcción, la sanidad, la tecnología y las infraestructuras críticas. El hecho de que el grupo se centre en sectores críticos pone de manifiesto su amplio alcance operativo, que supone una amenaza significativa tanto para entidades públicas como privadas.
A pesar de la eficacia del grupo, afirman no tener como objetivo las organizaciones sin ánimo de lucro.
Víctimas de RansomHub
Más de 324 organizaciones han sido víctimas de RansomHub desde su aparición, con especial atención a las infraestructuras públicas, incluidos los sistemas sanitarios y las instalaciones gubernamentales. Estos ataques interrumpen servicios vitales, lo que provoca importantes paradas operativas y cuantiosas peticiones de rescate.
Método de ataque de RansomHub
Los afiliados a RansomHub obtienen acceso a través de correos electrónicos en phishing , explotando vulnerabilidades y rociando contraseñas. Entre las vulnerabilidades más comunes explotadas se encuentran CVE-2023-3519 (Citrix ADC), CVE-2023-27997 (Fortinet) y CVE-2020-1472 (escalada de privilegios de Netlogon).
Una vez dentro, los afiliados escalan privilegios utilizando herramientas como Mimikatz, lo que permite un control total sobre los sistemas comprometidos.
Desactivan las herramientas de seguridad, borran los registros y cambian el nombre de los ejecutables del ransomware para mezclarlos con los archivos del sistema y evitar su detección.
Mediante herramientas de volcado de credenciales y pulverización de contraseñas, los afiliados recopilan credenciales administrativas para acceder a sistemas de gran valor.
El reconocimiento de la red se lleva a cabo utilizando herramientas como Nmap y PowerShell para identificar objetivos valiosos y planificar su posterior explotación.
Los afiliados se mueven lateralmente utilizando herramientas como Remote Desktop Protocol (RDP), PsExec y AnyDesk, obteniendo acceso a sistemas adicionales dentro de la red.
Los datos confidenciales se filtran utilizando herramientas como Rclone y WinSCP, a menudo con fines de doble extorsión, donde los datos robados se utilizan como palanca en las negociaciones del rescate.
El ransomware se ejecuta a través de la red de la víctima, cifrando los archivos mediante el cifrado de curva elíptica Curve 25519.
Los datos se filtran a través de protocolos cifrados, cuentas de cloud o transferencias directas a servidores controlados por atacantes.
El cifrado de RansomHub inutiliza los sistemas de las víctimas, lo que a menudo provoca un tiempo de inactividad operativa prolongado. Los afiliados eliminan las copias de seguridad y las instantáneas de volúmenes para impedir los esfuerzos de recuperación, maximizando la presión sobre las víctimas para que paguen el rescate.
Los afiliados a RansomHub obtienen acceso a través de correos electrónicos en phishing , explotando vulnerabilidades y rociando contraseñas. Entre las vulnerabilidades más comunes explotadas se encuentran CVE-2023-3519 (Citrix ADC), CVE-2023-27997 (Fortinet) y CVE-2020-1472 (escalada de privilegios de Netlogon).
Una vez dentro, los afiliados escalan privilegios utilizando herramientas como Mimikatz, lo que permite un control total sobre los sistemas comprometidos.
Desactivan las herramientas de seguridad, borran los registros y cambian el nombre de los ejecutables del ransomware para mezclarlos con los archivos del sistema y evitar su detección.
Mediante herramientas de volcado de credenciales y pulverización de contraseñas, los afiliados recopilan credenciales administrativas para acceder a sistemas de gran valor.
El reconocimiento de la red se lleva a cabo utilizando herramientas como Nmap y PowerShell para identificar objetivos valiosos y planificar su posterior explotación.
Los afiliados se mueven lateralmente utilizando herramientas como Remote Desktop Protocol (RDP), PsExec y AnyDesk, obteniendo acceso a sistemas adicionales dentro de la red.
Los datos confidenciales se filtran utilizando herramientas como Rclone y WinSCP, a menudo con fines de doble extorsión, donde los datos robados se utilizan como palanca en las negociaciones del rescate.
El ransomware se ejecuta a través de la red de la víctima, cifrando los archivos mediante el cifrado de curva elíptica Curve 25519.
Los datos se filtran a través de protocolos cifrados, cuentas de cloud o transferencias directas a servidores controlados por atacantes.
El cifrado de RansomHub inutiliza los sistemas de las víctimas, lo que a menudo provoca un tiempo de inactividad operativa prolongado. Los afiliados eliminan las copias de seguridad y las instantáneas de volúmenes para impedir los esfuerzos de recuperación, maximizando la presión sobre las víctimas para que paguen el rescate.
TTPs utilizados por RansomHub
Cómo detectar RansomHub con Vectra AI
Preguntas frecuentes
¿A qué sectores se dirige principalmente RansomHub?
RansomHub ataca sectores de infraestructuras críticas como la sanidad, los servicios financieros y las instalaciones gubernamentales.
¿Cuáles son los países más afectados por RansomHub?
El grupo se dirige principalmente a organizaciones de Estados Unidos y Europa, evitando los países de la CEI, Cuba, Corea del Norte y China.
¿Cómo obtiene RansomHub el acceso inicial?
Los afiliados explotan vulnerabilidades conocidas, utilizan ataques a phishing y aprovechan credenciales robadas para infiltrarse en los sistemas.
¿Cuáles son los métodos de exfiltración de datos de RansomHub?
Utilizan herramientas como Rclone y WinSCP para filtrar datos confidenciales a través de canales cifrados.
¿Cómo aumenta RansomHub los privilegios dentro de una red?
Los afiliados utilizan herramientas como Mimikatz para extraer credenciales y escalar a privilegios a nivel de sistema.
¿Qué método de cifrado utiliza RansomHub?
Los afiliados a RansomHub utilizan el cifrado de curva elíptica Curve 25519 para bloquear los archivos de las víctimas.
¿Cómo evitan ser detectados los afiliados a RansomHub?
Desactivan las herramientas de seguridad, borran los registros y cambian el nombre de los ejecutables del ransomware para confundirlos con archivos legítimos.
¿Qué herramientas utiliza RansomHub para el movimiento lateral?
Herramientas como Remote Desktop Protocol (RDP), AnyDesk y PsExec se utilizan para moverse lateralmente dentro de redes comprometidas.
¿Qué estrategias de mitigación pueden ayudar a prevenir los ataques de RansomHub?
La implantación de una autenticación multifactor (AMF) resistente a phishing, la aplicación de parches a las vulnerabilidades y la segmentación de las redes son estrategias de mitigación clave.
¿Cuál es el impacto de un ataque RansomHub?
Las víctimas suelen sufrir importantes periodos de inactividad y pérdidas de datos debido al cifrado y a la eliminación de las copias de seguridad, lo que provoca una parálisis operativa y elevadas peticiones de rescate.