Conclusiones clave El ransomware RansomHub surgió en febrero de 2024 y rápidamente se ha convertido en una amenaza importante, dirigida a una amplia gama de sectores, incluida la infraestructura crítica como el tratamiento del agua, la atención médica y los servicios gubernamentales. RansomHub utiliza un modelo de doble extorsión, encriptando datos y exfiltrándolos para exigir rescates. Las víctimas deben pagar no solo para recuperar el acceso a sus datos encriptados, sino también para evitar la divulgación pública de la información robada. La plataforma Vision de Cyble informó que el ransomware emplea técnicas sofisticadas, como la explotación de vulnerabilidades de día cero como Zerologon y el uso de métodos avanzados de exfiltración de datos. Utiliza herramientas para escanear redes, mapear objetivos potenciales y evadir la detección. Los afiliados de RansomHub obtienen acceso a través de phishing, explotando vulnerabilidades conocidas (por ejemplo, CVE-2023-3519) y rociando contraseñas. También aprovechan herramientas como AngryIPScanner y Nmap para el mapeo de redes y Mimikatz para la recolección de credenciales. Para evitar ser detectado, RansomHub cambia el nombre de los ejecutables del ransomware, borra los registros del sistema y desactiva las herramientas de seguridad mediante métodos como Windows Management Instrumentation (WMI). RansomHub ha afectado a varias industrias en todo el mundo, lo que pone de relieve la naturaleza indiscriminada y el amplio alcance de las amenazas modernas del ransomware. Descripción general El 29 de agosto de 2024, la Oficina Federal de Investigaciones (FBI), la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC) y el Departamento de Salud y Servicios Humanos (HHS) emitieron un aviso conjunto. Este aviso arrojó luz sobre el ransomware RansomHub, una nueva y formidable amenaza en el panorama cibernético. Como parte de la iniciativa #StopRansomware, esta actualización tiene como objetivo dotar a los defensores de la red de información crucial sobre las tácticas, técnicas y procedimientos (TTP) de RansomHub, así como los indicadores de compromiso (IOC). El Protocolo de semáforo (TLP) de CLEAR indica que esta información está destinada a la difusión abierta para reforzar las defensas colectivas contra el ransomware. RansomHub, también identificado como Cyclops y Knight, surgió en febrero de 2024 y rápidamente se ha convertido en un actor importante en el campo del ransomware. Se ha dirigido a un amplio espectro de sectores, incluida la infraestructura crítica como el tratamiento del agua, la atención médica y los servicios gubernamentales. Cabe destacar que RansomHub emplea un modelo de doble extorsión, encriptando datos y luego exfiltrándolos para exigir pagos de rescate. Las víctimas son presionadas no solo para pagar el rescate para recuperar el acceso a sus datos encriptados, sino también para evitar que su información robada se publique en línea. Dinámica operativa de RansomHub Según el informe de visión de Cyble, RansomHub parece ser una evolución del grupo de ransomware Knight, con vínculos con afiliados de ALPHV y un modelo distintivo de Ransomware como servicio (RaaS). Este modelo incluye un esquema de prepago, lo que agrega una capa de complejidad al proceso de ataque. El ransomware explota vulnerabilidades conocidas como Zerologon para el acceso inicial, lo que subraya aún más su naturaleza sofisticada. Las operaciones del grupo revelan una preferencia por utilizar técnicas avanzadas, incluidas vulnerabilidades de día cero y sofisticados métodos de exfiltración de datos. RansomHub ha demostrado tener un amplio impacto, afectando a industrias que van desde la aeroespacial y la defensa hasta la agricultura, la automoción y la atención sanitaria. Su alcance global es evidente en la diversa lista de países y sectores atacados, lo que ilustra la naturaleza indiscriminada del ransomware y su amplio impacto. Los afiliados de RansomHub obtienen acceso a través de una variedad de métodos, como el phishing, que implica el envío de correos electrónicos masivos o de phishing selectivo, y la explotación de vulnerabilidades como CVE-2023-3519 y CVE-2023-27997. También utilizan la pulverización de contraseñas para intentar entrar a través de credenciales débiles o comprometidas. Una vez dentro, el grupo utiliza herramientas como AngryIPScanner y Nmap para escanear y mapear redes, identificando objetivos potenciales para el movimiento lateral. Para evadir la detección, RansomHub emplea varias técnicas, que incluyen renombrar los ejecutables de ransomware con nombres benignos, borrar los registros del sistema para obstruir el análisis forense y deshabilitar las herramientas de seguridad mediante métodos como Windows Management Instrumentation (WMI). Para la escalada de privilegios y el movimiento lateral, recopilan credenciales con herramientas como Mimikatz y utilizan RDP, PsExec y herramientas de comando y control para navegar dentro de la red. La exfiltración de datos se logra a través de varios métodos, incluido el uso de servicios de almacenamiento en la nube como los buckets de AWS S3 y las solicitudes HTTP POST para transferir datos. RansomHub protege los archivos mediante el cifrado de curva elíptica Curve 25519, cifrando los datos en fragmentos y agregando metadatos con claves de cifrado. Aprovechan herramientas tanto legítimas como reutilizadas, como Cobalt Strike para el movimiento lateral y la ejecución de archivos, PowerShell para la creación de scripts y la automatización, y WinSCP y RClone para las transferencias de archivos y la sincronización con el almacenamiento en la nube. El aviso también enumera los indicadores de compromiso (IOC) asociados con RansomHub, incluidas las rutas de archivos específicas, las direcciones IP y las URL relacionadas con las operaciones del ransomware. Estrategias de mitigación Desconecte inmediatamente los sistemas afectados de la red para evitar que el ransomware se propague a otros dispositivos. Este aislamiento ayuda a contener la amenaza y limita el daño mientras se llevan a cabo las investigaciones y los esfuerzos de remediación. Restaure los sistemas afectados utilizando copias de seguridad limpias y verificadas para eliminar cualquier rastro del ransomware y garantizar que el sistema esté libre de malware. Asegúrese de que las copias de seguridad sean recientes y completas, y pruébelas antes de restaurarlas. Actualice y proteja todas las credenciales de cuentas de usuario y administrativas que puedan haberse visto comprometidas. Implemente contraseñas nuevas y seguras y considere medidas de autenticación adicionales para reforzar la seguridad. Analice minuciosamente los artefactos del sistema, como los procesos en ejecución, las conexiones de red y otros indicadores de compromiso. Esto ayuda a comprender el alcance de la infracción, identificar posibles vulnerabilidades y guiar los esfuerzos de remediación. Notifique a las autoridades pertinentes, como CISA (Agencia de Seguridad de Infraestructura y Ciberseguridad) o el FBI. Proporcione información detallada sobre el ataque, incluyendo cómo ocurrió, qué sistemas se vieron afectados y el impacto. Esto ayuda a coordinar los esfuerzos de respuesta y potencialmente prevenir ataques similares. Desarrolle y mantenga un plan de recuperación integral que incluya múltiples copias de datos críticos almacenados en ubicaciones seguras y geográficamente separadas. Asegúrese de que las copias de seguridad estén cifradas y protegidas contra el acceso no autorizado o la manipulación. Administración de contraseñas: aplique contraseñas seguras y únicas para todas las cuentas e implemente políticas como cambios regulares de contraseñas y bloqueos de cuentas después de intentos fallidos de inicio de sesión. Considere usar administradores de contraseñas para almacenar y administrar credenciales de forma segura. Conclusión El ransomware RansomHub representa una amenaza compleja para las organizaciones en varios sectores. Sus técnicas sofisticadas y su amplio alcance requieren un enfoque proactivo e integral de la ciberseguridad. Al implementar las mitigaciones recomendadas y mantenerse informado sobre las amenazas en evolución, las organizaciones pueden protegerse mejor contra los ataques de ransomware. Para obtener recursos adicionales y orientación sobre la defensa contra el ransomware, se recomienda a las organizaciones que visiten stopransomware.gov e interactúen con las comunidades de ciberseguridad relevantes. Fuentes: https://www.ic3.gov/Media/News/2024/240829.pdf Relacionado