Escucha la principal información de esta noticia aqui :

Los actores maliciosos vinculados al grupo de ransomware RansomHub han encriptado y exfiltrado datos de al menos 210 víctimas desde su aparición en febrero de 2024, según informó el gobierno de EE.UU.

Las víctimas abarcan varios sectores, incluidos los servicios de agua y aguas residuales, tecnología de la información, servicios y facilidades gubernamentales, salud pública, servicios de emergencia, alimentos y agricultura, servicios financieros, instalaciones comerciales, manufactura crítica, transporte, y comunicaciones en infraestructuras críticas.

“RansomHub es una variante de ransomware como servicio (RaaS), anteriormente conocida como Cyclops y Knight, que se ha establecido como un modelo de servicio eficiente y exitoso, atrayendo recientemente a afiliados de alto perfil de otras variantes prominentes como LockBit y ALPHV,” señalaron las agencias gubernamentales.

RansomHub ha ganado popularidad en el mundo del cibercrimen, especialmente después de una serie de acciones legales que han afectado a otros grupos de ransomware. Según un análisis de ZeroFox, la actividad de RansomHub representó aproximadamente el 2% de todos los ataques de ransomware observados en el primer trimestre de 2024, aumentando a un 5.1% en el segundo trimestre y alcanzando un 14.2% en lo que va del tercer trimestre.

“Alrededor del 34% de los ataques de RansomHub han tenido como objetivo organizaciones en Europa, en comparación con un 25% en el panorama general de amenazas,” observó la empresa.

Este grupo es conocido por utilizar el modelo de doble extorsión, que implica la exfiltración de datos y la encriptación de sistemas para presionar a las víctimas a pagar el rescate. Las empresas objetivo que se niegan a pagar ven su información publicada en un sitio de fugas de datos por un período de entre tres y 90 días.

El acceso inicial a los entornos de las víctimas se logra explotando vulnerabilidades conocidas en dispositivos como Apache ActiveMQ, Atlassian Confluence Data Center y Server, Citrix ADC, F5 BIG-IP, Fortinet FortiOS, y Fortinet FortiClientEMS, entre otros.

Después de obtener acceso, los afiliados de RansomHub realizan un reconocimiento y escaneo de la red utilizando herramientas como AngryIPScanner y Nmap, además de otros métodos conocidos como “living-off-the-land” (LotL). Los ataques de RansomHub también incluyen desactivar software antivirus utilizando herramientas personalizadas para evitar ser detectados.

“Tras el acceso inicial, los afiliados de RansomHub crearon cuentas de usuario para mantener el acceso, reactivaron cuentas deshabilitadas y utilizaron Mimikatz en sistemas Windows para obtener credenciales y escalar privilegios al nivel de SISTEMA,” según el informe del gobierno de EE.UU.

Los ataques de RansomHub también se caracterizan por el uso de cifrado intermitente para acelerar el proceso, y la exfiltración de datos se realiza mediante herramientas como PuTTY, Amazon AWS S3 buckets, solicitudes HTTP POST, WinSCP, Rclone, Cobalt Strike, Metasploit, entre otros métodos.

Este desarrollo se produce mientras Palo Alto Networks Unit 42 ha desentrañado las tácticas asociadas con el ransomware ShinyHunters, conocido como Bling Libra, destacando su cambio hacia la extorsión directa de las víctimas en lugar de vender o publicar los datos robados.

El grupo Bling Libra, que apareció en 2020, adquiere credenciales legítimas, obtenidas de repositorios públicos, para acceder inicialmente al entorno de Amazon Web Services (AWS) de una organización. A pesar de que los permisos asociados con las credenciales comprometidas limitaron el impacto de la brecha, Bling Libra logró infiltrarse en el entorno de AWS y realizó operaciones de reconocimiento.

Además, se observa una evolución significativa en los ataques de ransomware, que han avanzado más allá de la simple encriptación de archivos para emplear estrategias de extorsión multifacéticas, incluso utilizando esquemas de triple y cuádruple extorsión.

“La extorsión triple aumenta la presión, amenazando con medios adicionales de disrupción más allá de la encriptación y exfiltración,” señaló SOCRadar.

“Esto podría implicar la realización de un ataque DDoS contra los sistemas de la víctima o extender amenazas directas a los clientes, proveedores u otros asociados de la víctima para causar daños operativos y reputacionales adicionales a los objetivos finales en el esquema de extorsión.”

La extorsión cuádruple aumenta aún más la presión contactando a terceros con relaciones comerciales con las víctimas y extorsionándolos, o amenazando con exponer datos de terceros para aumentar la presión sobre la víctima para que pague.

La naturaleza lucrativa de los modelos RaaS ha impulsado un aumento en nuevas variantes de ransomware como Allarich, Cronus, CyberVolk, Datablack, DeathGrip, Hawk Eye e Insom. Además, ha llevado a que actores del estado iraní colaboren con grupos conocidos como NoEscape, RansomHouse y BlackCat a cambio de una parte de los ingresos ilícitos.

Fuente (s) :

• https://thehackernews.com/2024/09/ransomhub-ransomware-group-targets-210.html