Ransomware RansomHub: lo que necesita saber

¿Qué es RansomHub?

A pesar de haber aparecido por primera vez a principios de este año, RansomHub ya se considera uno de los grupos de ransomware más prolíficos que existen.

Opera una operación de ransomware como servicio (RaaS), lo que significa que un núcleo central del grupo crea y mantiene el código y la infraestructura del ransomware, y los alquila a otros ciberdelincuentes que actúan como afiliados.

¿Cómo ha llegado RansomHub a convertirse en algo tan importante tan rápidamente?

Sin duda, RansomHub se benefició de la interrupción causada a la banda LockBit. las fuerzas del orden le causaron a la banda LockBit en febrero de 2024. Una operación internacional contra LockBit no solo permitió la confiscación de algunos de los sitios web y herramientas de descifrado del grupo, sino que también alertó a sus afiliados de que estaban siendo vigilados.

Muchos afiliados que habían utilizado anteriormente los cifradores del grupo LockBit se han pasado a bandas rivales de RaaS. Entre ellas se encuentra RansomHub, que según Check Point fue responsable de “un aumento significativo” de los ataques en junio, con casi 80 nuevas víctimas .

Entonces, hacerle la vida más difícil a LockBit no eliminó el problema del ransomware…

…simplemente lo llevó a otro lado, sí.

Pero RansomHub también ha reclutado activamente afiliados de otras operaciones de ransomware como servicio. Por ejemplo, tomó bajo su protección a antiguos afiliados de ALPHV/BlackCat después de que ese grupo estafara a sus socios. .

Entonces, ¿supongo que RansomHub funciona igual que otro ransomware?

Bastante bien. Los atacantes entran en tu organización, extraen datos confidenciales y luego cifran tus sistemas. Un día, llegas a la oficina y encuentras una nota de rescate electrónica que te exige que pagues una nota de rescate para obtener una herramienta de descifrado que te permita recuperar tus archivos ilegibles y para evitar que la banda publique los archivos en la red oscura.

Los investigadores creen que los orígenes de RansomHub se remontan a un ransomware más antiguo llamado Knight. El código fuente de Knight se puso a la venta en foros de piratería en febrero de 2024 y tienen numerosas similitudes.

Estás sugiriendo que los grupos de ransomware son perezosos…

¿No lo son todos los programadores? Si alguien ya ha escrito un código que hace el trabajo de manera competente, no tiene mucho sentido reinventar la rueda. El propio Knight se basó en un ransomware anterior llamado Cyclops.

¿Sabemos dónde tiene su base la banda RansomHub?

Como sucede con todos estos grupos, es difícil llegar a una conclusión definitiva. Sin embargo, hay algunas pistas en las declaraciones que el grupo ha hecho en Internet.

En su sitio web, en la sección “Acerca de”, RansomHub dice que no permite ataques a “la CEI, Cuba, Corea del Norte y China”. Por lo tanto, no sería una sorpresa si descubriéramos que el grupo RansomHub está basado principalmente en un país amigo de Rusia o, de hecho, de la propia Rusia.

Bueno, hay una sorpresa. ¿Por qué querrían evitar ataques contra su propio país y sus aliados?

Porque los cibercriminales encontrarán la vida mucho más estresante si sus agentes policiales locales están dispuestos a hacer la vista gorda si sólo se están pirateando empresas de países enemigos.

Entonces, ¿a quién afirma RansomHub haber atacado?

Más recientemente, afirmó que había estado detrás de un ataque contra el Departamento de Salud de Florida, alegando que había publicado 100 GB de datos robados a la organización después de no lograr el pago de un rescate. Otros ataques de alto perfil vinculados a RansomHub incluyen uno contra la casa de subastas Christie’s .

Sin embargo, una de las víctimas más notables de RansomHub fue Change Healthcare.

Espera, pensé que Change Healthcare fue atacado por el grupo ALPHV/BlackCat.

Bien recordado. ALPHV/BlackCat lanzó un ataque de ransomware contra Change Healthcare en febrero de este año, lo que interrumpió gravemente gravemente la capacidad de las farmacias para cumplir con los pedidos de pacientes que deseaban pagar sus recetas médicas a través de su seguro.

Pero los dolores de cabeza de Change Healthcare no terminaron allí. En abril, RansomHub también comenzó a publicar información médica y financiera confidencial aparentemente tomada del proveedor de tecnología de salud y amenazó con publicarla a menos que las compañías de seguros pagaran rescates.

Estos tipos parecen querer seriamente hacer todo lo posible para ganar dinero…

Nadie debería sorprenderse. En su manifiesto en línea, RansomHub dice:

Nuestros miembros del equipo son de diferentes países y no nos interesa nada más, sólo nos interesan los dólares.

Entonces, ¿qué medidas debería tomar mi empresa para protegerse contra RansomHub?

Lo más importante que debe hacer es asegurarse de tener defensas reforzadas antes de… se produzca un ataque de ransomware, limitando así cualquier posible impacto en su negocio.

Además, sería conveniente seguir nuestras recomendaciones sobre cómo proteger su organización de otros ransomware. .

Los consejos incluyen:

  • Realizar copias de seguridad seguras fuera del sitio.
  • Ejecutar soluciones de seguridad actualizadas y garantizar que sus computadoras estén protegidas con los últimos parches de seguridad contra vulnerabilidades.
  • Restrinja la capacidad de un atacante de propagarse lateralmente a través de su organización mediante la segmentación de la red.
  • Usar contraseñas únicas y difíciles de descifrar para proteger datos y cuentas confidenciales, además de habilitar la autenticación multifactor.
  • Cifrar datos confidenciales siempre que sea posible.
  • Reducir la superficie de ataque deshabilitando la funcionalidad que su empresa no necesita.
  • Educar e informar al personal sobre los riesgos y métodos utilizados por los ciberdelincuentes para lanzar ataques y robar datos.

Manténgase a salvo y no permita que su organización sea la próxima víctima de RansomHub.

Fuente: tripwire