El govern dels Estats Units ha comunicat que els actor d’amenaça vinculats al grup de programari de segrest  RansomHub van xifrar i extreure dades d’almenys 210 víctimes des de la seva creació el febrer de 2024.

Les víctimes abasten diversos sectors, com ara aigua i aigües residuals, tecnologia de la informació, serveis i instal·lacions governamentals, sanitat i salut pública, serveis d’emergència, alimentació i agricultura, serveis financers, instal·lacions comercials, fabricació crítica, transport i infraestructures crítiques de comunicacions.

«RansomHub és una variant de programari de segrest com a servei, abans coneguda com a Cyclops i Knight, que s’ha consolidat com un model de servei eficient i reeixit (recentment ha atret afiliats d’alt perfil d’altres variants destacades com LockBit i ALPHV», també van informar les agències governamentals.

Una plataforma de programari de segrest com a servei (RaaS), descendent de Cyclops i Knight i que opera delinqüència electrònica, ha atret afiliats d’alt perfil d’altres variants destacades com ara LockBit i ALPHV (també conegudes com a BlackCat) després d’una onada recent d’operacions reeixides de les forces de seguretat.

ZeroFox, en una anàlisi publicada a finals del mes passat, va dir que l’activitat de RansomHub representa un 2 % de tots els atacs que hi ha hagut el primer trimestre de 2024, el 5,1 % el segon trimestre i el 14,2. % fins ara al tercer trimestre, de tota l’activitat de programari de segrest observada pel venedor de ciberseguretat, i està en una trajectòria ascendent. 

«Aproximadament el 34 % dels atacs de RansomHub s’han dirigit a organitzacions a Europa, en comparació amb el 25 % del panorama d’amenaces”, va comunicar l‘empresa.

Se sap que el grup utilitza el model d’extorsió doble per extreure dades i xifrar sistemes per extorsionar les víctimes, a les quals se’ls insta a contactar amb els operadors mitjançant un URL únic .onion. A les empreses atacades que es neguen a acceptar la demanda de rescat els publiquen les dades extretes al lloc de filtració de dades durant un període d’entre 3 i 90 dies.

L’accés inicial als entorns de les víctimes es facilita aprofitant les vulnerabilitats de seguretat conegudes a Apache ActiveMQ (CVE-2023-46604), Centre de dades i servidor d’Atlassian Confluence (CVE-2023-22515), Citrix ADC (CVE-2023-3519), F5 BIG-IP (CVE-2023-46747), Fortinet FortiOS (CVE-2023-27997), i als dispositius Fortinet FortiClientEMS (CVE-2023-48788), entre d’altres.

Aquesta fase d’accés inicial la duen a terme els afiliats que fan reconeixement i exploració de xarxa mitjançant programes com ara el AngryIPScanner, Nmap i altres mètodes de Living off the Land (LotL, pirateig mitjançant aplicacions legítimes que estan en el sistema de la víctima). Els atacs de RansomHub impliquen, a més, desarmar l’ús de programari antivirus mitjançant eines personalitzades per passar desapercebuts.

L’avís del govern dels EUA explica que «Després de l’accés inicial, els afiliats de RansomHub creen comptes d’usuari per a la persistència, tornen a habilitar els comptes desactivats i fan servir el Mimikatz als sistemes Windows per recollir credencials [T1003] i augmentar els privilegis al sistema.»

«Llavors, els afiliats es mouen lateralment a la xarxa mitjançant mètodes com el Protocol d’escriptori remot (RDP), PsExec, AnyDesk, Connectwise, N-Able, Cobalt Strike, Metasploit o altres mètodes de comandament i control (C2) àmpliament utilitzats.»

Un altre aspecte notable dels atacs de RansomHub és l’ús de xifratge intermitent per accelerar el procés, amb l’exfiltració de dades observada a través d’eines com ara PuTTY, cubs Amazon AWS S3, sol·licituds HTTP POST, WinSCP, Rclone, Cobalt Strike, Metasploit i altres mètodes.

El tema ha sortit a la llum quan la Unitat 42 de Palo Alto Networks va desxifrar i revelar les tàctiques associades al programari de segrest ShinyHunters, que rastreja com a Bling Libra, i va destacar el seu canvi per extorsionar víctimes en lloc de la seva tàctica tradicional de vendre o publicar dades robades. L’actor d’amenaça va sortir a la llum per primera vegada el 2020.

«El grup adquireix credencials legítimes, procedents de repositoris públics, per obtenir l’accés inicial a l’entorn d’Amazon Web Services (AWS) d’una organització», van explicar les investigadores de seguretat Margaret Zimmermann i Chandni Vaya.

«Tot i que els permisos associats a les credencials compromeses van limitar l’impacte de la violació de dades, Bling Libra es va infiltrar a l’entorn AWS de l’organització i va dur a terme operacions de reconeixement. El grup d’actors d’amenaça va utilitzar eines com ara el navegador Amazon Simple Storage Service (S3) i WinSCP per recopilar informació de les configuracions de cub S3, accedir als objectes S3 i suprimir-ne les dades».

També segueix una evolució significativa dels atacs de programari de segrest, que han anat més enllà del xifratge de fitxers per emprar estratègies d’extorsió complexes i polifacètiques, fins i tot amb esquemes d’extorsió triples i quàdruples, segons SOCRadar.

«L’extorsió triple augmenta l’aposta, amenaça mitjans addicionals d’interrupció més enllà del xifratge i l’exfiltració», va explicar l’empresa.

«Això podria implicar la realització d’un atac DDoS contra els sistemes de la víctima o estendre amenaces directes als clients, proveïdors o altres associats de la víctima per causar més danys operatius i reputacionals dels que normalment s’adrecen a l’esquema d’extorsió».

L’extorsió quàdruple augmenta l’aposta perquè es posen en contacte amb tercers que tenen relacions comercials amb les víctimes i les extorsionen, o les amenaces d’exposar dades de tercers per augmentar la pressió sobre una víctima perquè pagui.

La naturalesa lucrativa dels models RaaS ha provocat un augment de noves variants de programari de segrest com ara Allarich, Cronus, CyberVolk, Datablack, DeathGrip, Hawk Eye, i Insom. També ha portat els actors estatals iranians a col·laborar amb grups coneguts com ara NoEscape, RansomHouse i BlackCat a canvi d’una retallada dels beneficis il·lícits.