Los actores de amenazas asociados con el grupo de ransomware RansomHub han cifrado y exfiltrado datos de al menos 210 víctimas desde su creación en febrero de 2024, según informó el gobierno de Estados Unidos.
Las víctimas de los ataques del grupo RansomHub abarcan una amplia gama de sectores, incluidos el agua y aguas residuales, tecnología de la información, servicios e instalaciones gubernamentales, atención sanitaria y salud pública, servicios de emergencia, alimentación y agricultura, servicios financieros, instalaciones comerciales, fabricación crítica, transporte e infraestructura crítica de comunicaciones.
“RansomHub es una variante de ransomware como servicio, anteriormente conocida como Cyclops y Knight, que ha logrado establecerse como un modelo de servicio eficiente y exitoso, atrayendo recientemente a afiliados de alto perfil de otras variantes prominentes como LockBit y ALPHV”, señalaron las agencias gubernamentales.
Descendiente de Cyclops y Knight, RansomHub es una variante de ransomware como servicio (RaaS) que ha captado afiliados de alto perfil de otras variantes como LockBit y ALPHV (también conocido como BlackCat), especialmente tras una reciente ola de acciones de aplicación de la ley.
Según un análisis de ZeroFox publicado a fines del mes pasado, la actividad de RansomHub, como proporción de toda la actividad de ransomware observada por el proveedor de ciberseguridad, está en ascenso, representando aproximadamente el 2% de todos los ataques en el primer trimestre de 2024, el 5,1% en el segundo trimestre y el 14,2% en lo que va del tercer trimestre.
“Aproximadamente el 34% de los ataques de RansomHub tuvieron como objetivo organizaciones en Europa, en comparación con el 25% en todo el panorama de amenazas”, indicó la empresa.
Se sabe que RansomHub emplea el modelo de doble extorsión, cifrando sistemas y exfiltrando datos para extorsionar a las víctimas, quienes son instadas a ponerse en contacto con los operadores a través de una URL exclusiva en la red .onion. Las empresas que se niegan a pagar el rescate ven su información publicada en un sitio de filtración de datos durante un período de entre tres y 90 días.
El acceso inicial a los entornos de las víctimas se logra mediante la explotación de vulnerabilidades conocidas en dispositivos como Apache ActiveMQ (CVE-2023-46604), Atlassian Confluence Data Center and Server (CVE-2023-22515), Citrix ADC (CVE-2023-3519), F5 BIG-IP (CVE-2023-46747), Fortinet FortiOS (CVE-2023-27997) y Fortinet FortiClientEMS (CVE-2023-48788), entre otros.
Posteriormente, los afiliados realizan reconocimiento y escaneo de la red utilizando herramientas como AngryIPScanner, Nmap y otros métodos de “living off-the-land” (LotL). Además, los ataques de RansomHub implican desactivar el software antivirus mediante herramientas personalizadas para pasar desapercibidos.
“Tras obtener acceso inicial, los afiliados de RansomHub crearon cuentas de usuario para persistencia, reactivaron cuentas deshabilitadas y usaron Mimikatz en sistemas Windows para recopilar credenciales [T1003] y escalar privilegios a nivel SISTEMA”, mencionó el gobierno de EE. UU. en su aviso.
“Luego, los afiliados se desplazaron lateralmente dentro de la red utilizando métodos como el Protocolo de Escritorio Remoto (RDP), PsExec, AnyDesk, Connectwise, N-Able, Cobalt Strike, Metasploit u otros métodos de comando y control (C2) ampliamente utilizados”.
Un aspecto notable de los ataques de RansomHub es el uso de cifrado intermitente para acelerar el proceso, con exfiltración de datos realizada mediante herramientas como PuTTY, buckets de Amazon AWS S3, solicitudes HTTP POST, WinSCP, Rclone, Cobalt Strike, Metasploit y otros métodos.
Este desarrollo ocurre después de que la Unidad 42 de Palo Alto Networks revelara las tácticas asociadas con el ransomware ShinyHunters, al que rastrea como Bling Libra, destacando su cambio hacia la extorsión en lugar de la venta o publicación de datos robados. Este grupo de amenazas emergió por primera vez en 2020.
“El grupo adquiere credenciales legítimas obtenidas de repositorios públicos para obtener acceso inicial al entorno de Amazon Web Services (AWS) de una organización”, explicaron los investigadores de seguridad Margaret Zimmermann y Chandni Vaya.
“Aunque los permisos asociados con las credenciales comprometidas limitaron el impacto de la violación, Bling Libra logró infiltrarse en el entorno de AWS de la organización y realizar operaciones de reconocimiento. El grupo utilizó herramientas como Amazon Simple Storage Service (S3) Browser y WinSCP para recopilar información sobre configuraciones de buckets de S3, acceder a objetos de S3 y eliminar datos”.
Este desarrollo sigue a una evolución significativa en los ataques de ransomware, que han pasado de cifrar archivos a emplear estrategias de extorsión complejas y multifacéticas, incluyendo esquemas de extorsión triples y cuádruples, según SOCRadar.
“La triple extorsión aumenta la presión, amenazando con medidas adicionales de interrupción más allá del cifrado y la exfiltración”, dijo la compañía.
“Esto podría incluir la realización de un ataque DDoS contra los sistemas de la víctima o la extensión de amenazas directas a clientes, proveedores u otros asociados de la víctima para causar más daño operativo y de reputación a aquellos que son finalmente el objetivo del plan de extorsión”.
La extorsión cuádruple lleva la presión aún más lejos, contactando a terceros con relaciones comerciales con las víctimas y extorsionándolos, o amenazando con exponer datos de terceros para aumentar la presión sobre la víctima para que pague.
La naturaleza lucrativa de los modelos RaaS ha impulsado un aumento en nuevas variantes de ransomware como Allarich, Cronus, CyberVolk, Datablack, DeathGrip, Hawk Eye e Insom. También ha llevado a actores del estado-nación iraní a colaborar con grupos conocidos como NoEscape, RansomHouse y BlackCat a cambio de una parte de las ganancias ilícitas.
Fuente:https:thehackernews.com