Los actores de amenazas vinculados al grupo de ransomware RansomHub cifraron y exfiltraron datos de al menos 210 víctimas desde su inicio en febrero de 2024, dijo el gobierno de EE. UU. Las víctimas pertenecen a varios sectores, incluidos el agua y las aguas residuales, la tecnología de la información, los servicios e instalaciones gubernamentales, la atención médica y la salud pública, los servicios de emergencia, la alimentación y la agricultura, los servicios financieros, las instalaciones comerciales, la fabricación crítica, el transporte y la infraestructura crítica de comunicaciones. «RansomHub es una variante de ransomware como servicio, anteriormente conocida como Cyclops y Knight, que se ha establecido como un modelo de servicio eficiente y exitoso (recientemente atrayendo a afiliados de alto perfil de otras variantes prominentes como LockBit y ALPHV)», dijeron las agencias gubernamentales. Una variante de ransomware como servicio (RaaS) que es descendiente de Cyclops y Knight, la operación de delito electrónico ha atraído a afiliados de alto perfil de otras variantes prominentes como LockBit y ALPHV (también conocida como BlackCat) luego de una reciente ola de acciones de aplicación de la ley. En un análisis publicado a finales del mes pasado, ZeroFox afirmó que la actividad de RansomHub como proporción de toda la actividad de ransomware observada por el proveedor de ciberseguridad sigue una trayectoria ascendente, representando aproximadamente el 2% de todos los ataques en el primer trimestre de 2024, el 5,1% en el segundo trimestre y el 14,2% hasta ahora en el tercer trimestre. «Aproximadamente el 34% de los ataques de RansomHub se han dirigido a organizaciones en Europa, en comparación con el 25% en todo el panorama de amenazas», señaló la empresa. Se sabe que el grupo emplea el modelo de doble extorsión para exfiltrar datos y cifrar sistemas con el fin de extorsionar a las víctimas, a las que se insta a ponerse en contacto con los operadores a través de una URL única .onion. Las empresas atacadas que se niegan a acceder a la demanda de rescate ven su información publicada en el sitio de filtración de datos durante un período de entre tres y 90 días. El acceso inicial a los entornos de las víctimas se facilita mediante la explotación de vulnerabilidades de seguridad conocidas en dispositivos Apache ActiveMQ (CVE-2023-46604), Atlassian Confluence Data Center and Server (CVE-2023-22515), Citrix ADC (CVE-2023-3519), F5 BIG-IP (CVE-2023-46747), Fortinet FortiOS (CVE-2023-27997) y Fortinet FortiClientEMS (CVE-2023-48788), entre otros. Este paso es seguido por afiliados que realizan reconocimiento y escaneo de red utilizando programas como AngryIPScanner, Nmap y otros métodos de Living Off-the-Land (LotL). Los ataques de RansomHub también implican la desactivación del software antivirus mediante herramientas personalizadas para pasar desapercibidos. «Tras el acceso inicial, los afiliados de RansomHub crearon cuentas de usuario para persistencia, volvieron a habilitar cuentas deshabilitadas y usaron Mimikatz en sistemas Windows para recopilar credenciales. [T1003] y escalar privilegios a SYSTEM», se lee en el aviso del gobierno de EE. UU. «Luego, los afiliados se movieron lateralmente dentro de la red a través de métodos que incluyen el Protocolo de escritorio remoto (RDP), PsExec, AnyDesk, Connectwise, N-Able, Cobalt Strike, Metasploit u otros métodos de comando y control (C2) ampliamente utilizados». Otro aspecto notable de los ataques de RansomHub es el uso de cifrado intermitente para acelerar el proceso, con exfiltración de datos observada a través de herramientas como PuTTY, buckets de Amazon AWS S3, solicitudes HTTP POST, WinSCP, Rclone, Cobalt Strike, Metasploit y otros métodos. El desarrollo se produce cuando Palo Alto Networks Unit 42 desempacó las tácticas asociadas con el ransomware ShinyHunters, que rastrea como Bling Libra, destacando su cambio a extorsionar a las víctimas en lugar de su táctica tradicional de vender o publicar datos robados. El actor de amenazas salió a la luz por primera vez en 2020. «El grupo adquiere credenciales legítimas, obtenidas de repositorios públicos, para obtener información inicial «El acceso al entorno de Amazon Web Services (AWS) de una organización», dijeron los investigadores de seguridad Margaret Zimmermann y Chandni Vaya. «Si bien los permisos asociados con las credenciales comprometidas limitaron el impacto de la violación, Bling Libra se infiltró en el entorno de AWS de la organización y realizó operaciones de reconocimiento. El grupo de actores de amenazas utilizó herramientas como Amazon Simple Storage Service (S3) Browser y WinSCP para recopilar información sobre las configuraciones de los buckets de S3, acceder a los objetos de S3 y eliminar datos». También sigue una evolución significativa en los ataques de ransomware, que han ido más allá del cifrado de archivos para emplear estrategias de extorsión complejas y multifacéticas, incluso empleando esquemas de extorsión triple y cuádruple, según SOCRadar. «La triple extorsión aumenta la apuesta, amenazando con medios adicionales de interrupción más allá del cifrado y la exfiltración», dijo la compañía. «Esto podría implicar realizar un ataque DDoS contra los sistemas de la víctima o extender amenazas directas a los clientes, proveedores u otros asociados de la víctima para causar más daños operativos y de reputación a los que finalmente son el objetivo del esquema de extorsión». La extorsión cuádruple aumenta la apuesta al contactar a terceros que tienen relaciones comerciales con las víctimas y extorsionarlos, o amenazar a las víctimas con exponer datos de terceros para aumentar aún más la presión sobre la víctima para que pague. La naturaleza lucrativa de los modelos RaaS ha impulsado un aumento en nuevas variantes de ransomware como Allarich, Cronus, CyberVolk, Datablack, DeathGrip, Hawk Eye e Insom. También ha llevado a los actores del estado-nación iraní a colaborar con grupos conocidos como NoEscape, RansomHouse y BlackCat a cambio de una parte de las ganancias ilícitas. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.