Las autoridades de Estados Unidos han emitido un aviso conjunto sobre ciberseguridad que cubre a un prolífico grupo de ransomware, RansomHub. Se cree que el grupo ha «encriptado y exfiltrado» datos de al menos 210 víctimas, mediante técnicas de doble extorsión. Las víctimas del grupo abarcaban organizaciones de los sectores público y privado, incluidos la atención médica, la TI, el gobierno, los servicios de emergencia, la alimentación y la agricultura, y el agua y las aguas residuales. El grupo también apuntó a la infraestructura «crítica» en la fabricación, el transporte y las comunicaciones. La nota de aviso detalla las tácticas, técnicas y procedimientos (TTP) y los indicadores de compromiso (IOC), así como los pasos que las organizaciones pueden tomar para defenderse. Tácticas, técnicas y procedimientos de RansomHub RansomHub utiliza la doble extorsión «encriptando sistemas y exfiltrando datos para extorsionar a las víctimas», según CISA, la agencia nacional de ciberdefensa de Estados Unidos. Sin embargo, como RansomHub funciona con un modelo de afiliados, el método exacto de exfiltración de datos dependerá del afiliado que haya irrumpido en la red de la víctima. Las agencias dicen que los afiliados de RansomHub normalmente «ponen en peligro los sistemas que dan a Internet y los puntos finales de los usuarios» a través de phishing, rociado de contraseñas (dirigiéndose a las cuentas comprometidas en las violaciones de contraseñas) y explotando vulnerabilidades conocidas. Una vez dentro de la red, los afiliados del grupo cifran los datos y dejan caer una nota de ransomware, pero no suelen incluir una demanda de rescate ni detalles de pago. En cambio, las víctimas reciben una identificación de cliente e instrucciones para ponerse en contacto con el grupo a través de una URL .onion mediante el navegador Tor. Los investigadores dicen que las víctimas suelen tener entre 3 y 90 días para pagar, o sus datos se publicarán en el sitio de fuga de datos de Tor de RansomHub. Para cifrar los datos, el grupo utiliza el algoritmo de cifrado de curva elíptica Curve 25519 y utiliza un cifrado intermitente. El ransomware apunta a los datos y normalmente no cifra los archivos ejecutables. En el aviso, CISA enumera las direcciones IP (muchas vinculadas a QakBot) y las direcciones de correo electrónico como posibles IOC. Cómo responder a los ataques de RansomHub Si las víctimas creen que han sido atacadas por un afiliado de RansomHub, las agencias recomiendan desconectar cualquier host potencialmente afectado, volver a crear una imagen de ellos y emitir nuevas credenciales de cuenta. También deben monitorear sus sistemas para detectar comportamientos sospechosos. CISA y sus socios también recomiendan a las organizaciones que mantengan múltiples copias de seguridad segmentadas de los datos y que sigan las pautas del NIST para las políticas de contraseñas. Los CISO también deben asegurarse de que las organizaciones validen sus controles de seguridad a través de pruebas y ejercicios. Lea más sobre las iniciativas de ransomware de CISA: Más de 850 dispositivos vulnerables asegurados a través del programa de ransomware de CISA Las notas de asesoramiento de ciberseguridad conjuntas #StopRansomware son emitidas por el FBI, CISA, el Centro de análisis e intercambio de información multiestatal (MS-ISAC) y el Departamento de Salud y Servicios Humanos (HHS).