Gestión de fraudes y delitos cibernéticos, Ransomware Los federales cuentan más de 200 víctimas conocidas en EE. UU. de un grupo de ransomware que se lanzó en febreroMathew J. Schwartz(euroinfosec) • 30 de agosto de 2024 Los afiliados están convirtiendo a RansomHub en un grupo de extorsión digital de primer nivel. (Imagen: Shutterstock) Los grupos de ransomware pueden aparecer y desaparecer de nombre, pero muchos de los participantes siguen siendo los mismos, incluso si no conocemos sus identidades en el mundo real. Ver también: Cómo liberar el poder del acceso a la red de confianza cero a través de un enfoque de ciclo de vida Las agencias federales de EE. UU. advierten a las organizaciones que tengan cuidado con el aumento de los ataques vinculados a un grupo de ransomware llamado RansomHub que está siendo impulsado por afiliados de operaciones en declive. Desde su debut en febrero, RansomHub se ha convertido en un «eficiente y exitoso» practicante del modelo de ransomware como servicio, en el que los operadores suministran malware de bloqueo de cifrado y los afiliados lo utilizan para cifrar a las víctimas a cambio de quedarse con la mayor parte de cualquier rescate pagado, dice una alerta conjunta emitida el jueves por la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos, el FBI, el Centro de Análisis e Intercambio de Información Multiestatal (también conocido como MS-ISAC) y el Departamento de Salud y Servicios Humanos. Anteriormente conocida como Cyclops y Knight (o al menos que utilizaba malware basado en el código de esos grupos), la operación RansomHub ha estado atrayendo una afluencia de afiliados que desertaron de la operación BlackCat, también conocida como Alphv, así como de LockBit. Como detalló la firma de seguridad Symantec a principios de este año, estos y otros «operadores veteranos con experiencia y contactos en el ciberespacio clandestino» han ayudado a impulsar el rápido ascenso de RansomHub. Los piratas informáticos de RansomHub dejan una nota de rescate en los sistemas criptobloqueados de la víctima que “generalmente no incluye una demanda inicial de rescate o instrucciones de pago”. En cambio, le da a la víctima un “ID de cliente” y una dirección .onion única para contactar al grupo y discutir más sobre el tema. “La nota de rescate generalmente les da a las víctimas entre tres y 90 días para pagar el rescate, dependiendo del afiliado, antes de que el grupo de ransomware publique sus datos en el sitio de filtración de datos de RansomHub Tor”. El ascenso de RansomHub “coincidió con que las fuerzas del orden pusieron a disposición claves de descifrado para mantener a raya a LockBit”, dijo Raj Samani, científico jefe de la empresa de ciberseguridad Rapid7. “Esto demuestra una vez más que una vez que se trata de una empresa criminal, otra inevitablemente estallará en el espacio del ransomware”. Las víctimas conocidas del grupo ya se cuentan por cientos. En tan solo siete meses, “RansomHub ha cifrado y exfiltrado datos de al menos 210 víctimas que representan a los sectores de agua y aguas residuales, TI, servicios e instalaciones gubernamentales, atención médica y salud pública, servicios de emergencia, alimentos y agricultura, servicios financieros, instalaciones comerciales, fabricación crítica, transporte y comunicaciones”, dice la alerta conjunta. La alerta advierte a las organizaciones que tengan cuidado con algunas de las principales tácticas que utilizan los afiliados del grupo para obtener acceso inicial a los sistemas de las víctimas, que incluyen el uso de correos electrónicos de phishing; la explotación de vulnerabilidades conocidas, algunas de las cuales datan de 2017, en Big-IP, Citrix, FortiOS, Java, Confluence y tecnología de Microsoft; y el uso de rociado de contraseñas, que “se dirige a cuentas comprometidas a través de violaciones de datos”. El grupo también ha sido vinculado a exploits obtenidos a partir de código de ataque de prueba de concepto publicado en repositorios como ExploitDB y GitHub. La alerta incluye indicadores de compromiso vinculados al grupo «obtenidos de las investigaciones del FBI», incluidas direcciones IP vinculadas a ataques, algunas de las cuales se han visto en ataques que se remontan a 2020 y tienen vínculos históricos con el malware QakBot. Lista creciente de víctimas Algunas de las víctimas recientes de RansomHub incluyen el Departamento de Salud de Florida, el gigante minorista de farmacias Rite Aid, la casa de subastas Christie’s, el laboratorio médico de pruebas de drogas con sede en Florida American Clinical Solutions y, según afirma el grupo, Patelco Credit Union de California. Otra víctima reciente puede ser el gigante de servicios petroleros Halliburton, que el 21 de agosto «se dio cuenta de que un tercero no autorizado obtuvo acceso a algunos de sus sistemas», dijo en una presentación regulatoria del 22 de agosto (ver: El gigante de servicios petroleros Halliburton interrumpido por un ataque de piratas informáticos). «Los esfuerzos de respuesta de la empresa incluyeron desconectar proactivamente ciertos sistemas para ayudar a protegerlos y notificar a las fuerzas del orden», dijo Halliburton. «La investigación y la respuesta en curso de la empresa incluyen la restauración de sus sistemas y la evaluación de la materialidad». Aunque Halliburton no ha confirmado si el ataque involucró ransomware, Bleeping Computer informó que obtuvo una copia de una carta que la compañía envió a los proveedores, que incluía IOC vinculados al ataque. Uno de ellos, dijo, hacía referencia a «un ejecutable de Windows llamado Maintenance.exe, que BleepingComputer ha confirmado que es un encriptador de ransomware de RansomHub». Afiliados en acción El flujo de afiliados con fines de lucro de BlackCat y LockBit a RansomHub no es inusual, dicen los expertos, sobre todo por la mayor atención que las autoridades prestaron a ambos grupos. Las fuerzas del orden interrumpieron BlackCat en diciembre pasado, después de lo cual se recuperó y luego realizó una estafa de salida, aparentemente para evitar compartir con su afiliado «Notchy» su parte de un rescate de $ 22 millones pagado por UnitedHealth Group después de que Notchy pirateara la organización Change Healthcare de su unidad de negocios Optum. Posteriormente, Notchy llevó los datos robados a RansomHub, que comenzó su propio chantaje a UHG, amenazando con filtrar los datos robados a menos que se pagara. No está claro si la empresa pagó un segundo rescate o no. Las fuerzas de seguridad desmantelaron LockBit en febrero, tras lo cual se recuperó. Pero las autoridades han seguido atacando al grupo utilizando sus propias tácticas, como menospreciar a sus afiliados y nombrar y avergonzar al líder del grupo, «LockBitSupp», que según los fiscales estadounidenses es Dmitry Yuryevich Khoroshev, con sede en Voronezh, Rusia. Si bien LockBit ha seguido dando tumbos, los expertos en seguridad dicen que se ve obstaculizada por estar tan estrechamente vinculada a Khoroshev y cada vez parece más estar en las últimas, sobre todo debido a la mala publicidad y la constante amenaza de nuevas medidas de las fuerzas de seguridad. Si bien los afiliados están detrás de muchos ataques de ransomware, la atención suele recaer en los propios grupos de ransomware. Se trata de un patrón que se refuerza a sí mismo y que permite a los afiliados mantenerse fuera del centro de atención mientras aumentan la credibilidad de la marca de ransomware; y cuanto más grande y más malo sea, más probabilidades hay de que las víctimas asustadas paguen (véase: El mundo al revés y patas arriba del ransomware). Cuando los grupos declinan, los afiliados (en realidad, solo contratistas independientes) se alinean con alguien más. Los afiliados también pueden trabajar con varios grupos a la vez, seleccionando un grupo con malware de bloqueo de cifrado o con antecedentes de extorsión de un tipo particular de víctima, como hospitales. ¿Qué grupos de ransomware tienen más éxito? Esa sigue siendo una pregunta abierta, debido a que muchas víctimas nunca revelan cuándo fueron atacadas, si pagaron un rescate o cuánto pagaron. Si bien los grupos tienen blogs sobre fugas de datos, solo enumeran un subconjunto de quienes no pagaron, en lugar de un recuento completo de los que sí lo hicieron (véase: Los blogs de fugas de datos de los grupos de ransomware mienten: deje de confiar en ellos). URL de la publicación original: https://www.databreachtoday.com/blogs/ransomhub-hits-powered-by-ex-affiliates-lockbit-blackcat-p-3703