Perché l'individuazione dei moderni attacchi C2 richiede la modellizzazione comportamentale, non la decrittografia
Leggi il blog
Vectra AIè stata inserita tra i leader nel Magic Quadrant di Gartner per la gestione delle minacce alla rete (NDR) del 2026
Leggi il rapporto
Riga superiore con icona dell'hamburger
Icona dell'hamburger sulla riga centrale
Icona dell'hamburger in basso a destra
Gruppo di ransomware

RansomHub

  1. Stato:
    Inattivo
  1. Stato:
    Inattivo

RansomHub era una variante di ransomware-as-a-service (RaaS), precedentemente nota come Cyclops e Knight.

Individuare le TTP di RansomHub
La tua organizzazione è al sicuro dagli attacchi informatici?
Contesto e obiettivi
TTP
Mappatura MITRE
Rilevamento
Domande frequenti
Guarda il briefing sulle minacce
CONTESTO
PAESI
SETTORI
VITTIME

L'origine di RansomHub

Nato nel febbraio 2024, il gruppo ha crittografato e sottratto dati da oltre 210 vittime, avvalendosi di affiliati di alto profilo provenienti da altri gruppi di ransomware come LockBit e ALPHV. L'attività di RansomHub si basava su un modello di doppia estorsione, in cui gli affiliati crittografavano i sistemi e sottraevano i dati, minacciando di pubblicare le informazioni rubate se il riscatto non veniva pagato. Il gruppo era noto per la sua professionalità e sofisticazione tecnica. RansomHub è stato avvistato l'ultima volta nel marzo 2025.

Fonte:OCD

Paesi presi di mira da RansomHub

RansomHub aveva una portata globale, con vittime concentrate principalmente negli Stati Uniti e in Europa, e prendeva di mira infrastrutture critiche e settori chiave.

Il gruppo ha affermato di evitare di prendere di mira la Comunità degli Stati Indipendenti (CSI), Cuba, la Corea del Nord e la Cina, probabilmente a causa della presenza di rifugi operativi o di tutele giuridiche.

Fonte dell'immagine: Cyberint

Settori presi di mira da RansomHub

RansomHub prende di mira un'ampia gamma di settori, tra cui spiccano i servizi alle imprese, il commercio al dettaglio e l'industria manifatturiera. Altri settori spesso colpiti sono quelli dei servizi educativi, della pubblica amministrazione, della finanza, dell'edilizia, della sanità, della tecnologia e delle infrastrutture critiche. L'attenzione del gruppo verso i settori critici evidenzia l'ampio raggio d'azione delle sue operazioni, rappresentando una minaccia significativa sia per gli enti pubblici che per quelli privati.

Nonostante l'efficienza del gruppo, i suoi membri sostengono di non prendere di mira le organizzazioni senza scopo di lucro.

Healthcare

Financial Services and Banking

Critical National Infrastructure (CNI)

Energy and Utilities

Le vittime di RansomHub

Da quando è emerso, RansomHub ha colpito oltre 844 organizzazioni, concentrandosi in particolare sulle infrastrutture pubbliche, tra cui i sistemi sanitari e le strutture governative. Questi attacchi hanno compromesso servizi essenziali, causando notevoli interruzioni operative e richieste di riscatto ingenti.

Metodo di attacco

Il metodo di attacco di RansomHub

Accesso iniziale
Escalation dei privilegi
Resistenza ed elusione delle difese
Accesso alle credenziali
Scoperta
Movimento laterale
Collezione
Esecuzione
Esfiltrazione
Impatto
Una figura oscura che getta un'ampia rete su un panorama digitale popolato da vari dispositivi, quali computer, smartphone e tablet. La rete simboleggia i tentativi dell'aggressore di individuare vulnerabilità o di ricorrere a phishing per ottenere un accesso non autorizzato.

Gli affiliati di RansomHub hanno ottenuto l'accesso tramite phishing , sfruttando vulnerabilità e ricorrendo al "password spraying". Tra le vulnerabilità più comunemente sfruttate figurano CVE-2023-3519 (Citrix ADC), CVE-2023-27997 (Fortinet) e CVE-2020-1472 (escalation dei privilegi Netlogon).

Una scala digitale che sale dall'icona di un utente standard verso una corona, simbolo dei privilegi amministrativi. Ciò rappresenta gli sforzi compiuti dall'autore dell'attacco per ottenere un livello di accesso più elevato all'interno del sistema.

Una volta entrati, gli affiliati hanno ampliato i propri privilegi utilizzando strumenti come Mimikatz, ottenendo così il pieno controllo sui sistemi compromessi.

Un camaleonte che si mimetizza su uno sfondo digitale, circondato da una serie di zero e uno. Ciò rappresenta la capacità dell'autore dell'attacco di eludere i sistemi di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.

Hanno disattivato gli strumenti di sicurezza, cancellato i registri e rinominato i file eseguibili del ransomware per mimetizzarli tra i file di sistema, eludendo così il rilevamento.

Un ladro munito di un kit di grimaldelli che sta maneggiando una gigantesca serratura a forma di modulo di accesso, a simboleggiare i tentativi dell'aggressore di sottrarre le credenziali degli utenti per ottenere un accesso non autorizzato.

Utilizzando strumenti di dumping delle credenziali e tecniche di password spraying, gli affiliati hanno raccolto credenziali amministrative per accedere a sistemi di alto valore.

Una lente d'ingrandimento che si sposta su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per comprenderne la struttura e individuare dove si trovano i dati sensibili.

È stata effettuata una ricognizione della rete utilizzando strumenti quali Nmap e PowerShell per individuare obiettivi di valore e pianificare ulteriori azioni di sfruttamento.

Una serie di nodi interconnessi tra cui si muove furtivamente una figura indistinta. Ciò illustra i movimenti dell'autore dell'attacco all'interno della rete, inteso a ottenere il controllo di ulteriori sistemi o a diffondere malware.

Gli affiliati si sono spostati lateralmente utilizzando strumenti quali il Protocollo Desktop Remoto (RDP), PsExec e AnyDesk, ottenendo così l'accesso ad altri sistemi all'interno della rete.

Un grande aspirapolvere che risucchia file, icone di dati e cartelle in un sacco tenuto in mano da una figura indistinta. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.

I dati sensibili sono stati sottratti utilizzando strumenti come Rclone e WinSCP, spesso a scopo di doppia estorsione, in cui i dati rubati venivano utilizzati come leva nelle trattative per il riscatto.

Una finestra del prompt dei comandi aperta su uno sfondo digitale, con del codice dannoso che viene digitato. Questa immagine rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.

Il ransomware è stato eseguito su tutta la rete della vittima, crittografando i file tramite l'algoritmo Curve 25519 a curva ellittica.

Una serie di file viene trasferita tramite un canale segreto da un computer a un cloud da un teschio, a simboleggiare il trasferimento non autorizzato di dati verso una destinazione controllata dall'autore dell'attacco.

I dati sono stati sottratti tramite protocolli crittografati, cloud o trasferimenti diretti verso server controllati dagli autori dell'attacco.

Uno schermo incrinato con alle spalle un panorama urbano digitale in preda al caos, che simboleggia l'impatto distruttivo di un attacco informatico, come l'interruzione dei servizi, la distruzione dei dati o le perdite finanziarie.

La crittografia di RansomHub ha reso inutilizzabili i sistemi delle vittime, causando spesso lunghi periodi di inattività operativa. Gli affiliati hanno cancellato i backup e le copie shadow dei volumi per impedire qualsiasi tentativo di ripristino, aumentando così al massimo la pressione sulle vittime affinché pagassero il riscatto.

Una figura oscura che getta un'ampia rete su un panorama digitale popolato da vari dispositivi, quali computer, smartphone e tablet. La rete simboleggia i tentativi dell'aggressore di individuare vulnerabilità o di ricorrere a phishing per ottenere un accesso non autorizzato.
Accesso iniziale

Gli affiliati di RansomHub hanno ottenuto l'accesso tramite phishing , sfruttando vulnerabilità e ricorrendo al "password spraying". Tra le vulnerabilità più comunemente sfruttate figurano CVE-2023-3519 (Citrix ADC), CVE-2023-27997 (Fortinet) e CVE-2020-1472 (escalation dei privilegi Netlogon).

Una scala digitale che sale dall'icona di un utente standard verso una corona, simbolo dei privilegi amministrativi. Ciò rappresenta gli sforzi compiuti dall'autore dell'attacco per ottenere un livello di accesso più elevato all'interno del sistema.
Escalation dei privilegi

Una volta entrati, gli affiliati hanno ampliato i propri privilegi utilizzando strumenti come Mimikatz, ottenendo così il pieno controllo sui sistemi compromessi.

Un camaleonte che si mimetizza su uno sfondo digitale, circondato da una serie di zero e uno. Ciò rappresenta la capacità dell'autore dell'attacco di eludere i sistemi di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.
Evasione difensiva

Hanno disattivato gli strumenti di sicurezza, cancellato i registri e rinominato i file eseguibili del ransomware per mimetizzarli tra i file di sistema, eludendo così il rilevamento.

Un ladro munito di un kit di grimaldelli che sta maneggiando una gigantesca serratura a forma di modulo di accesso, a simboleggiare i tentativi dell'aggressore di sottrarre le credenziali degli utenti per ottenere un accesso non autorizzato.
Accesso alle credenziali

Utilizzando strumenti di dumping delle credenziali e tecniche di password spraying, gli affiliati hanno raccolto credenziali amministrative per accedere a sistemi di alto valore.

Una lente d'ingrandimento che si sposta su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per comprenderne la struttura e individuare dove si trovano i dati sensibili.
Scoperta

È stata effettuata una ricognizione della rete utilizzando strumenti quali Nmap e PowerShell per individuare obiettivi di valore e pianificare ulteriori azioni di sfruttamento.

Una serie di nodi interconnessi tra cui si muove furtivamente una figura indistinta. Ciò illustra i movimenti dell'autore dell'attacco all'interno della rete, inteso a ottenere il controllo di ulteriori sistemi o a diffondere malware.
Movimento laterale

Gli affiliati si sono spostati lateralmente utilizzando strumenti quali il Protocollo Desktop Remoto (RDP), PsExec e AnyDesk, ottenendo così l'accesso ad altri sistemi all'interno della rete.

Un grande aspirapolvere che risucchia file, icone di dati e cartelle in un sacco tenuto in mano da una figura indistinta. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.
Collezione

I dati sensibili sono stati sottratti utilizzando strumenti come Rclone e WinSCP, spesso a scopo di doppia estorsione, in cui i dati rubati venivano utilizzati come leva nelle trattative per il riscatto.

Una finestra del prompt dei comandi aperta su uno sfondo digitale, con del codice dannoso che viene digitato. Questa immagine rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.
Esecuzione

Il ransomware è stato eseguito su tutta la rete della vittima, crittografando i file tramite l'algoritmo Curve 25519 a curva ellittica.

Una serie di file viene trasferita tramite un canale segreto da un computer a un cloud da un teschio, a simboleggiare il trasferimento non autorizzato di dati verso una destinazione controllata dall'autore dell'attacco.
Esfiltrazione

I dati sono stati sottratti tramite protocolli crittografati, cloud o trasferimenti diretti verso server controllati dagli autori dell'attacco.

Uno schermo incrinato con alle spalle un panorama urbano digitale in preda al caos, che simboleggia l'impatto distruttivo di un attacco informatico, come l'interruzione dei servizi, la distruzione dei dati o le perdite finanziarie.
Impatto

La crittografia di RansomHub ha reso inutilizzabili i sistemi delle vittime, causando spesso lunghi periodi di inattività operativa. Gli affiliati hanno cancellato i backup e le copie shadow dei volumi per impedire qualsiasi tentativo di ripristino, aumentando così al massimo la pressione sulle vittime affinché pagassero il riscatto.

MITRE ATT&CK

TTP utilizzati da RansomHub

TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
No items found.
TA0005: Defense Evasion
T1562
Impair Defenses
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
No items found.
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
No items found.
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1048
Exfiltration Over Alternative Protocol
TA0040: Impact
T1486
Data Encrypted for Impact
Rilevamenti della piattaforma

Come individuare gli autori delle minacce con Vectra AI

Azure AD MFA-Failed Suspicious Sign-On

Azure AD Privilege Operation Anomaly

M365 Suspect Power Automate Activity

Privilege Anomaly: Unusual Host

Ransomware File Activity

Suspicious Remote Desktop Protocol

Visualizza altri rilevamenti
Valuta la tua vulnerabilità agli attacchi

La tua organizzazione è al sicuro dagli attacchi informatici?

Valuta la tua vulnerabilità agli attacchi

Domande frequenti

Quali sono i settori principali presi di mira da RansomHub?

Quali sono i paesi più colpiti da RansomHub?

In che modo RansomHub ottiene l'accesso iniziale?

Quali sono i metodi di esfiltrazione dei dati utilizzati da RansomHub?

In che modo RansomHub ottiene privilegi elevati all'interno di una rete?

Quale metodo di crittografia utilizza RansomHub?

In che modo gli affiliati di RansomHub riescono a non farsi scoprire?

Quali strumenti utilizza RansomHub per il movimento laterale?

Quali strategie di mitigazione possono aiutare a prevenire gli attacchi di RansomHub?

Quali sono le conseguenze di un attacco RansomHub?