Desde su aparición en febrero de 2024, el grupo de ransomware RansomHub ha logrado cifrar y robar datos de al menos 210 víctimas, según informes del gobierno de Estados Unidos. Estas víctimas abarcan una amplia gama de sectores clave, incluyendo agua y aguas residuales, tecnología de la información, servicios gubernamentales, atención sanitaria, servicios de emergencia, alimentación y agricultura, servicios financieros, manufactura crítica, transporte y comunicaciones.
RansomHub, una variante de ransomware como servicio (RaaS) anteriormente conocida como Cyclops y Knight, ha evolucionado rápidamente, atrayendo a afiliados de alto perfil que antes operaban con otros grupos prominentes como LockBit y ALPHV (también conocido como BlackCat). Este cambio se ha visto impulsado por recientes acciones de la ley que han desarticulado otras operaciones criminales, haciendo de RansomHub una opción cada vez más popular entre los cibercriminales.
La actividad de RansomHub ha mostrado un preocupante incremento, pasando de representar el 2% de todos los ataques de ransomware en el primer trimestre de 2024, al 5,1% en el segundo trimestre, y alcanzando un 14,2% en el tercer trimestre, lo que indica que su amenaza sigue en ascenso.
Te podrá interesar leer: RansomHub: ¿Cómo Están Eliminando EDR para Potenciar sus Ciberataques?
RansomHub emplea una estrategia de doble extorsión, en la que no solo cifran los sistemas de sus víctimas, sino que también roban datos sensibles. Esto les permite presionar a las organizaciones para que paguen el rescate bajo la amenaza de exponer su información. Si las víctimas se niegan a pagar, sus datos se publican en un sitio de filtración, con plazos de exposición que pueden variar entre tres y 90 días.
El acceso inicial a los sistemas comprometidos lo logran explotando vulnerabilidades en dispositivos ampliamente utilizados, como Apache ActiveMQ, Atlassian Confluence, Citrix ADC, F5 BIG-IP, Fortinet FortiOS y Fortinet FortiClientEMS. Algunas de las vulnerabilidades más críticas incluyen:
Estas vulnerabilidades les permiten infiltrarse en los sistemas, dejándolos vulnerables a los ataques de ransomware y al robo de datos. Una vez que logran entrar en la red de la víctima, los afiliados de RansomHub comienzan un reconocimiento detallado utilizando herramientas como AngryIPScanner y Nmap.
Para no levantar sospechas, aplican técnicas de "living off-the-land" (LotL), que les permiten usar herramientas ya presentes en el sistema para moverse sin dejar rastro. También se aseguran de desactivar cualquier software antivirus con herramientas personalizadas para evitar ser detectados.
Después de asegurarse el acceso, crean nuevas cuentas de usuario para mantener su presencia en el sistema, reactivan cuentas deshabilitadas y utilizan Mimikatz para robar credenciales y aumentar sus privilegios dentro de la red.
Para moverse lateralmente a través de la red, RansomHub utiliza una variedad de técnicas, como el Protocolo de Escritorio Remoto (RDP), PsExec, AnyDesk, ConnectWise, N-Able, y herramientas de comando y control (C2) como Cobalt Strike y Metasploit.
Una de las tácticas que distingue a RansomHub es su uso de cifrado intermitente, lo que les permite cifrar datos rápidamente. Paralelamente, extraen información sensible utilizando herramientas como PuTTY, buckets de Amazon AWS S3, solicitudes HTTP POST, WinSCP, Rclone, Cobalt Strike, y Metasploit, asegurándose de causar el mayor daño posible en el menor tiempo.
Conoce más sobre: Evita el Pago de Ransomware: Riesgos del Rescate
Dada la sofisticación de RansomHub, las empresas y organizaciones deben adoptar un enfoque proactivo y multifacético para protegerse. A continuación, te presentamos algunas medidas clave:
Actualización y Parches de Sistemas: Es fundamental mantener todos los sistemas y software actualizados con los últimos parches de seguridad. Las vulnerabilidades conocidas son la puerta de entrada más común para los ataques de ransomware.
Copia de Seguridad de Datos: Realizar copias de seguridad regulares de los datos críticos es esencial. Estas copias deben almacenarse en ubicaciones seguras y estar desconectadas de la red principal para evitar que sean afectadas por el ransomware. Soluciones como TecnetProtect no solo automatizan el proceso de backup, sino que también ofrecen una protección robusta contra el acceso no autorizado, garantizando que tus datos estén siempre seguros y disponibles.
Entrenamiento y Concienciación de Trabajadores: La ingeniería social sigue siendo una de las técnicas más efectivas para comprometer sistemas. Capacitar a los trabajadores sobre cómo reconocer intentos de phishing y otros métodos de ataque puede reducir significativamente el riesgo de una infiltración.
Implementación de Medidas de Seguridad Avanzadas: Las organizaciones deben considerar la implementación de soluciones avanzadas de seguridad, como sistemas de detección y respuesta ante amenazas (EDR), firewalls de próxima generación, y tecnologías de inteligencia artificial que pueden identificar comportamientos sospechosos en tiempo real. TecnetProtect también integra estas capacidades, proporcionando una defensa completa que se adapta a las amenazas emergentes.
Plan de Respuesta a Incidentes: Tener un plan de respuesta a incidentes bien definido es crucial. Este plan debe incluir procedimientos claros sobre cómo aislar sistemas comprometidos, comunicar la situación a las partes interesadas, y coordinar con expertos en ciberseguridad para mitigar el impacto del ataque.
Ransomhub representa una amenaza significativa para la seguridad global, con su capacidad para atacar una amplia gama de organizaciones y sectores. Su éxito hasta la fecha subraya la importancia de una ciberseguridad robusta y adaptable. A medida que los ataques de ransomware se vuelven más frecuentes y sofisticados, las empresas y gobiernos deben estar preparados para enfrentar estos desafíos. La prevención, la preparación y la colaboración serán las claves para mitigar el impacto de grupos como Ransomhub en el futuro.