Il gruppo ransomware RansomHub ha cifrato ed esfiltrato dati da almeno 210 vittime da febbraio 2024, secondo il governo degli Stati Uniti. Le vittime appartengono a vari settori, tra cui acqua e acque reflue, tecnologia dell'informazione, servizi governativi, sanità, servizi di emergenza, alimentazione e agricoltura, servizi finanziari, strutture commerciali, produzione critica, trasporti e infrastrutture di comunicazione.

RansomHub come RaaS

RansomHub è una variante ransomware-as-a-service (RaaS) che ha attirato affiliati di alto profilo da altre varianti come LockBit e ALPHV (BlackCat), grazie alla sua efficienza e successo. ZeroFox, in un'analisi pubblicata il mese scorso, ha rilevato che l'attività di RansomHub rappresenta una crescente percentuale di tutti gli attacchi ransomware osservati, passando dal 2% nel Q1 2024, al 5,1% nel Q2, fino al 14,2% nel Q3.

Circa il 34% degli attacchi di RansomHub ha preso di mira organizzazioni in Europa, rispetto al 25% sulla totalità del panorama delle minacce. Il gruppo utilizza un modello di doppia estorsione per esfiltrare dati e cifrare sistemi, esortando le vittime a contattare gli operatori tramite un URL .onion. Le aziende che rifiutano di pagare il riscatto vedono le loro informazioni pubblicate su un sito di data leak per un periodo che varia dai tre ai 90 giorni.

Accesso iniziale e metodi di attacco

L'accesso iniziale agli ambienti delle vittime è facilitato sfruttando vulnerabilità note in dispositivi come Apache ActiveMQ, Atlassian Confluence Data Center e Server, Citrix ADC, F5 BIG-IP, Fortinet FortiOS e Fortinet FortiClientEMS. Successivamente, gli affiliati conducono ricognizioni e scansioni di rete utilizzando programmi come AngryIPScanner e Nmap, e disarmano i software antivirus con strumenti personalizzati.

Una volta ottenuto l'accesso iniziale, gli affiliati di RansomHub creano account utente per mantenere la persistenza, abilitano account disabilitati e usano Mimikatz su sistemi Windows per raccogliere credenziali ed elevare privilegi a livello SYSTEM. Gli affiliati si muovono lateralmente all'interno della rete utilizzando metodi come Remote Desktop Protocol (RDP), PsExec, AnyDesk, Connectwise, N-Able, Cobalt Strike, Metasploit e altri metodi di comando e controllo.

Esfiltrazione dei dati e tattiche avanzate

Un aspetto notevole degli attacchi di RansomHub è l'uso della cifratura intermittente per accelerare il processo, con esfiltrazione dei dati osservata attraverso strumenti come PuTTY, Amazon AWS S3 buckets, WinSCP, Rclone, Cobalt Strike e Metasploit. Questo sviluppo giunge mentre Palo Alto Networks Unit 42 ha analizzato le tattiche associate al ransomware ShinyHunters, noto come Bling Libra, evidenziando il suo passaggio a estorcere le vittime piuttosto che vendere o pubblicare i dati rubati.

Gli attacchi ransomware hanno evoluto le loro strategie, impiegando schemi di estorsione tripla e quadrupla. SOCRadar osserva che la tripla estorsione minaccia ulteriori mezzi di interruzione oltre alla cifratura e all'esfiltrazione, come attacchi DDoS contro i sistemi delle vittime o minacce dirette ai clienti e fornitori delle vittime. La quadrupla estorsione aggiunge la minaccia di contattare terze parti con rapporti commerciali con le vittime.

Nuove varianti e attori statali

Il modello RaaS ha alimentato un aumento di nuove varianti ransomware come Allarich, Cronus, CyberVolk, Datablack, DeathGrip, Hawk Eye e Insom. Ha anche portato attori statali iraniani a collaborare con gruppi noti come NoEscape, RansomHouse e BlackCat in cambio di una parte dei proventi illeciti.