RansomHub
RansomHub era una variante di ransomware-as-a-service (RaaS), precedentemente nota come Cyclops e Knight.
L'origine di RansomHub
Nato nel febbraio 2024, il gruppo ha crittografato e sottratto dati da oltre 210 vittime, avvalendosi di affiliati di alto profilo provenienti da altri gruppi di ransomware come LockBit e ALPHV. L'operatività di RansomHub si basava su un modello di doppia estorsione, in cui gli affiliati crittografavano i sistemi e sottraevano i dati, minacciando di pubblicare i dati rubati se non fosse stato pagato il riscatto. Il gruppo era noto per la sua professionalità e sofisticatezza tecnica. RansomHub è stato visto l'ultima volta nel marzo 2025.
Paesi presi di mira da RansomHub
RansomHub aveva una portata globale, con vittime principalmente negli Stati Uniti e in Europa, concentrandosi su infrastrutture critiche e settori chiave.
Il gruppo ha affermato di evitare di prendere di mira la Comunità degli Stati Indipendenti (CSI), Cuba, la Corea del Nord e la Cina, probabilmente a causa dei rifugi operativi o delle protezioni legali presenti in questi paesi.
Settori presi di mira da RansomHub
RansomHub prende di mira un'ampia gamma di settori, tra cui quelli principali sono i servizi alle imprese, la vendita al dettaglio e la produzione. Altri settori spesso colpiti includono i servizi educativi, la pubblica amministrazione, la finanza, l'edilizia, la sanità, la tecnologia e le infrastrutture critiche. L'attenzione del gruppo verso i settori critici evidenzia la sua ampia portata operativa, che rappresenta una minaccia significativa sia per gli enti pubblici che per quelli privati.
Nonostante l'efficienza del gruppo, essi sostengono di non prendere di mira le organizzazioni senza scopo di lucro.
Le vittime di RansomHub
Oltre 844 organizzazioni sono state vittime di RansomHub dalla sua comparsa, con un'attenzione particolare alle infrastrutture pubbliche, compresi i sistemi sanitari e le strutture governative. Questi attacchi hanno interrotto servizi vitali, causando significativi tempi di inattività operativa e richieste di riscatto sostanziali.
Metodo di attacco di RansomHub
Gli affiliati di RansomHub hanno ottenuto l'accesso tramite phishing , sfruttando vulnerabilità e password spraying. Le vulnerabilità comunemente sfruttate includono CVE-2023-3519 (Citrix ADC), CVE-2023-27997 (Fortinet) e CVE-2020-1472 (escalation dei privilegi Netlogon).
Una volta all'interno, gli affiliati hanno aumentato i privilegi utilizzando strumenti come Mimikatz, ottenendo il controllo totale sui sistemi compromessi.
Hanno disabilitato gli strumenti di sicurezza, cancellato i registri e rinominato gli eseguibili del ransomware per mimetizzarli nei file di sistema, eludendo così il rilevamento.
Utilizzando strumenti di credential dumping e password spraying, gli affiliati hanno raccolto credenziali amministrative per accedere a sistemi di alto valore.
La ricognizione della rete è stata condotta utilizzando strumenti come Nmap e PowerShell per identificare obiettivi di valore e pianificare ulteriori sfruttamenti.
Gli affiliati si sono mossi lateralmente utilizzando strumenti come Remote Desktop Protocol (RDP), PsExec e AnyDesk, ottenendo l'accesso ad altri sistemi all'interno della rete.
I dati sensibili sono stati sottratti utilizzando strumenti come Rclone e WinSCP, spesso a scopo di doppia estorsione, in cui i dati rubati venivano utilizzati come leva nelle trattative per il riscatto.
Il ransomware è stato eseguito sulla rete della vittima, crittografando i file utilizzando la crittografia a curva ellittica Curve 25519.
I dati sono stati sottratti tramite protocolli crittografati, cloud o trasferimenti diretti a server controllati dagli aggressori.
La crittografia di RansomHub ha reso inutilizzabili i sistemi delle vittime, causando spesso lunghi periodi di inattività operativa. Gli affiliati hanno cancellato i backup e le copie shadow dei volumi per impedire qualsiasi tentativo di ripristino, aumentando al massimo la pressione sulle vittime affinché pagassero il riscatto.
Gli affiliati di RansomHub hanno ottenuto l'accesso tramite phishing , sfruttando vulnerabilità e password spraying. Le vulnerabilità comunemente sfruttate includono CVE-2023-3519 (Citrix ADC), CVE-2023-27997 (Fortinet) e CVE-2020-1472 (escalation dei privilegi Netlogon).
Una volta all'interno, gli affiliati hanno aumentato i privilegi utilizzando strumenti come Mimikatz, ottenendo il controllo totale sui sistemi compromessi.
Hanno disabilitato gli strumenti di sicurezza, cancellato i registri e rinominato gli eseguibili del ransomware per mimetizzarli nei file di sistema, eludendo così il rilevamento.
Utilizzando strumenti di credential dumping e password spraying, gli affiliati hanno raccolto credenziali amministrative per accedere a sistemi di alto valore.
La ricognizione della rete è stata condotta utilizzando strumenti come Nmap e PowerShell per identificare obiettivi di valore e pianificare ulteriori sfruttamenti.
Gli affiliati si sono mossi lateralmente utilizzando strumenti come Remote Desktop Protocol (RDP), PsExec e AnyDesk, ottenendo l'accesso ad altri sistemi all'interno della rete.
I dati sensibili sono stati sottratti utilizzando strumenti come Rclone e WinSCP, spesso a scopo di doppia estorsione, in cui i dati rubati venivano utilizzati come leva nelle trattative per il riscatto.
Il ransomware è stato eseguito sulla rete della vittima, crittografando i file utilizzando la crittografia a curva ellittica Curve 25519.
I dati sono stati sottratti tramite protocolli crittografati, cloud o trasferimenti diretti a server controllati dagli aggressori.
La crittografia di RansomHub ha reso inutilizzabili i sistemi delle vittime, causando spesso lunghi periodi di inattività operativa. Gli affiliati hanno cancellato i backup e le copie shadow dei volumi per impedire qualsiasi tentativo di ripristino, aumentando al massimo la pressione sulle vittime affinché pagassero il riscatto.
TTP utilizzati da RansomHub
Come individuare gli autori delle minacce con Vectra AI
Domande frequenti
Quali sono i settori principali a cui si rivolge RansomHub?
RansomHub attacca settori infrastrutturali critici quali sanità, servizi finanziari e strutture governative.
Quali sono i paesi più colpiti da RansomHub?
Il gruppo prende di mira principalmente organizzazioni negli Stati Uniti e in Europa, evitando i paesi della CSI, Cuba, la Corea del Nord e la Cina.
In che modo RansomHub ottiene l'accesso iniziale?
Gli affiliati sfruttano vulnerabilità note, utilizzano phishing e sfruttano credenziali rubate per infiltrarsi nei sistemi.
Quali sono i metodi di esfiltrazione dei dati utilizzati da RansomHub?
Utilizzano strumenti come Rclone e WinSCP per sottrarre dati sensibili attraverso canali crittografati.
In che modo RansomHub aumenta i privilegi all'interno di una rete?
Gli affiliati utilizzano strumenti come Mimikatz per estrarre le credenziali e ottenere privilegi a livello di sistema.
Quale metodo di crittografia utilizza RansomHub?
Gli affiliati di RansomHub utilizzano la crittografia a curva ellittica Curve 25519 per bloccare i file delle vittime.
In che modo gli affiliati di RansomHub evitano di essere scoperti?
Disattivano gli strumenti di sicurezza, cancellano i registri e rinominano i file eseguibili del ransomware per mimetizzarli tra i file legittimi.
Quali strumenti utilizza RansomHub per il movimento laterale?
Strumenti come Remote Desktop Protocol (RDP), AnyDesk e PsExec vengono utilizzati per muoversi lateralmente all'interno delle reti compromesse.
Quali strategie di mitigazione possono aiutare a prevenire gli attacchi RansomHub?
L'implementazione dell'autenticazione a più fattori (MFA) phishing, la correzione delle vulnerabilità e la segmentazione delle reti sono strategie di mitigazione fondamentali.
Qual è l'impatto di un attacco RansomHub?
Le vittime spesso subiscono notevoli tempi di inattività e perdite di dati a causa della crittografia e della cancellazione dei backup, con conseguente paralisi operativa e richieste di riscatto elevate.