APPENA PUBBLICATO

Vectra AI è stata nominata Leader nel Magic Quadrant Gartner 2025 per il Network Detection and Response (NDR). Scarica il rapporto. >

Ricerca e approfondimenti

Approfondimenti di esperti da parte dei nostri data scientist, ricercatori di sicurezza e ingegneri per supportare il vostro apprendimento.

Approfondimenti di esperti su minacce e difese emergenti

Ottenere approfondimenti AI per un rilevamento più intelligente delle minacce

Bollettini e briefing sulle minacce per una difesa proattiva

Unisciti ai nostri ricercatori di sicurezza, agli scienziati dei dati e agli analisti mentre condividiamo oltre 11 anni di ricerca e competenze in materia di sicurezza e intelligenza artificiale con la comunità globale della sicurezza informatica.

Risorse

Ultime notizie e approfondimenti degli esperti.

Blue Team Workshops, webinar on-demand ed eventi globali vicino a voi.

Rapporti di ricerca, anatomie di attacco, white paper, guide, schede tecniche e storie di clienti.

Spiegazioni dettagliate dei problemi di cybersecurity più critici, delle tecniche di attacco e delle strategie di mitigazione.

Video dimostrativi e tour

Guardate la piattaforma Vectra AI in azione.

Scoprite come il segnale integrato di Vectra AI vi permette di vedere e bloccare attacchi sofisticati che altre tecnologie non riescono a cogliere.

Visita il tour interattivo

Azienda

Scoprite perché siamo il leader mondiale della sicurezza AI

Richiedete una presentazione con un esperto di sicurezza di Vectra AI

Guide all'implementazione, knowledge base, note di rilascio e annunci sulla sicurezza

Approfondimenti di esperti da parte di ricercatori di sicurezza, data scientist e ingegneri

Ultime notizie da Vectra AI

Press materials, leadership bios, logos and product images for media use

Entrate a far parte del team che sta dietro alla prima piattaforma di cybersecurity al mondo basata sull'AI

Oltre la perfezione della configurazione: Ridefinire la 'sicurezzaCloud '

La correzione delle configurazioni errate non è sufficiente. L'eccessiva concentrazione sulla perfezione può creare punti ciechi. Scoprite un approccio più intelligente e olistico alla sicurezza cloud .

Per saperne di più

RansomHub

RansomHub was a ransomware-as-a-service (RaaS) variant, previously known as Cyclops and Knight.

Rilevare i TTP di RansomHub

Is Your Organization Safe from Cyber Attacks?

L'origine di RansomHub

Emerging in February 2024, the group has encrypted and exfiltrated data from over 210 victims, leveraging high-profile affiliates from other ransomware groups such as LockBit and ALPHV. RansomHub's operation focused on a double extortion model, where affiliates encrypt systems and exfiltrate data, threatening to publish stolen data if ransoms are not paid. The group was known for its professionalism and technical sophistication. RansomHub was last seen in March 2025.

Paesi presi di mira da RansomHub

RansomHub had a global reach, with victims primarily in the United States and Europe, focusing on critical infrastructure and key industries.

The group claimed to avoid targeting the Commonwealth of Independent States (CIS), Cuba, North Korea, and China, likely due to operational safe havens or legal protections.

Settori presi di mira da RansomHub

RansomHub si rivolge a un'ampia gamma di industrie, i cui settori principali sono i servizi alle imprese, il commercio al dettaglio e la produzione. Altri settori frequentemente colpiti sono i servizi educativi, il governo, la finanza, l'edilizia, la sanità, la tecnologia e le infrastrutture critiche. L'attenzione del gruppo per i settori critici evidenzia la sua ampia portata operativa, che rappresenta una minaccia significativa per le entità pubbliche e private.

Nonostante l'efficienza del gruppo, essi affermano di non prendere di mira le organizzazioni non profit.

Healthcare

Financial Services and Banking

Critical National Infrastructure (CNI)

Energy and Utilities

Vittime di RansomHub

Over 844 organizations have fallen victim to RansomHub since its emergence, with a notable focus on public infrastructure, including healthcare systems and government facilities. These attacks disrupted vital services, leading to significant operational downtimes and substantial ransom demands.

Metodo di attacco

Il metodo di attacco di RansomHub

Una figura ombrosa che getta un'ampia rete su un paesaggio digitale pieno di vari dispositivi come computer, smartphone e tablet. La rete simboleggia i tentativi dell'attaccante di trovare vulnerabilità o di utilizzare le tecniche di phishing per ottenere un accesso non autorizzato.

RansomHub affiliates gained access through phishing emails, exploiting vulnerabilities, and password spraying. Common vulnerabilities exploited include CVE-2023-3519 (Citrix ADC), CVE-2023-27997 (Fortinet), and CVE-2020-1472 (Netlogon privilege escalation).

Una scala digitale che si estende verso l'alto da un'icona utente di base verso una corona che simboleggia i privilegi amministrativi. Questo rappresenta gli sforzi dell'attaccante per ottenere un accesso di livello superiore all'interno del sistema.

Once inside, affiliates escalated privileges using tools like Mimikatz, enabling full control over compromised systems.

Un camaleonte che si mimetizza in uno sfondo digitale, con zeri e uno che gli scorrono intorno. Questo rappresenta la capacità dell'attaccante di evitare il rilevamento da parte delle misure di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.

They disabled security tools, clear logs, and renamed ransomware executables to blend into system files, evading detection.

Un ladro con un kit di grimaldelli che lavora su un buco della serratura gigante a forma di modulo di login, che rappresenta gli sforzi dell'attaccante di rubare le credenziali dell'utente per ottenere un accesso non autorizzato.

Using credential dumping tools and password spraying, affiliates gathered administrative credentials to access high-value systems.

Una lente di ingrandimento che si muove su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per capire la struttura e dove risiedono i dati preziosi.

Network reconnaissance was conducted using tools like Nmap and PowerShell to identify valuable targets and plan further exploitation.

Una serie di nodi interconnessi con una figura oscura che si muove furtivamente tra di essi. Questo illustra i movimenti dell'attaccante all'interno della rete, che cerca di ottenere il controllo di altri sistemi o di diffondere malware.

Affiliates moved laterally using tools like Remote Desktop Protocol (RDP), PsExec, and AnyDesk, gaining access to additional systems within the network.

Un grande aspirapolvere che aspira file, icone di dati e cartelle in un sacchetto tenuto da una figura in ombra. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.

Sensitive data was exfiltrated using tools like Rclone and WinSCP, often for double extortion purposes, where the stolen data was used as leverage in ransom negotiations.

Una finestra del prompt dei comandi aperta davanti a uno sfondo digitale, con la digitazione di codice dannoso. Questa rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.

The ransomware was executed across the victim’s network, encrypting files using Curve 25519 elliptic-curve encryption.

Una serie di file che vengono convogliati attraverso un canale nascosto da un computer a un sito cloud etichettato con un teschio, che simboleggia il trasferimento non autorizzato di dati a una posizione controllata dall'aggressore.

Data was exfiltrated through encrypted protocols, cloud accounts, or direct transfers to attacker-controlled servers.

Uno schermo incrinato con dietro un paesaggio urbano digitale in preda al caos, che simboleggia l'impatto distruttivo del cyberattacco, come l'interruzione del servizio, la distruzione dei dati o la perdita finanziaria.

RansomHub’s encryption rendered victim systems inoperable, often leading to extensive operational downtime. Affiliates deleted backups and volume shadow copies to prevent recovery efforts, maximizing the pressure on victims to pay the ransom.

Accesso iniziale

Escalation dei privilegi

Once inside, affiliates escalated privileges using tools like Mimikatz, enabling full control over compromised systems.

Difesa Evasione

They disabled security tools, clear logs, and renamed ransomware executables to blend into system files, evading detection.

Accesso alle credenziali

Using credential dumping tools and password spraying, affiliates gathered administrative credentials to access high-value systems.

Scoperta

Network reconnaissance was conducted using tools like Nmap and PowerShell to identify valuable targets and plan further exploitation.

Movimento laterale

Affiliates moved laterally using tools like Remote Desktop Protocol (RDP), PsExec, and AnyDesk, gaining access to additional systems within the network.

Collezione

Sensitive data was exfiltrated using tools like Rclone and WinSCP, often for double extortion purposes, where the stolen data was used as leverage in ransom negotiations.

Esecuzione

The ransomware was executed across the victim’s network, encrypting files using Curve 25519 elliptic-curve encryption.

Esfiltrazione

Data was exfiltrated through encrypted protocols, cloud accounts, or direct transfers to attacker-controlled servers.

Impatto

MITRE ATT&CK Mappatura

TTP utilizzati da RansomHub

TA0001: Initial Access

T1566

Phishing

T1190

Exploit Public-Facing Application

TA0002: Execution

T1059

Command and Scripting Interpreter

TA0003: Persistence

No items found.

TA0004: Privilege Escalation

No items found.

TA0005: Defense Evasion

T1562

Impair Defenses

TA0006: Credential Access

T1003

OS Credential Dumping

TA0007: Discovery

No items found.

TA0008: Lateral Movement

T1021

Remote Services

TA0009: Collection

No items found.

TA0011: Command and Control

No items found.

TA0010: Exfiltration

T1048

Exfiltration Over Alternative Protocol

TA0040: Impact

T1486

Data Encrypted for Impact

Rilevamenti della piattaforma

How to Detect Threat Actors with Vectra AI

Azure AD MFA-Failed Suspicious Sign-On

Azure AD Privilege Operation Anomaly

M365 Suspect Power Automate Activity

Privilege Anomaly: Unusual Host

Ransomware File Activity

Suspicious Remote Desktop Protocol

Visualizza altri rilevamenti

Valutare l'esposizione agli attacchi

DOMANDE FREQUENTI

A quali settori si rivolge principalmente RansomHub?

RansomHub attacca settori di infrastrutture critiche come la sanità, i servizi finanziari e le strutture governative.

Quali sono i Paesi più colpiti da RansomHub?

Il gruppo prende di mira principalmente organizzazioni negli Stati Uniti e in Europa, evitando i Paesi della CSI, Cuba, Corea del Nord e Cina.

Come fa RansomHub a ottenere l'accesso iniziale?

Gli affiliati sfruttano le vulnerabilità note, utilizzano gli attacchi phishing e sfruttano le credenziali rubate per infiltrarsi nei sistemi.

Quali sono i metodi di esfiltrazione dei dati di RansomHub?

Utilizzano strumenti come Rclone e WinSCP per esfiltrare dati sensibili su canali criptati.

Come fa RansomHub ad aumentare i privilegi all'interno di una rete?

Gli affiliati utilizzano strumenti come Mimikatz per estrarre le credenziali e scalare i privilegi a livello di sistema.

Quale metodo di crittografia utilizza RansomHub?

Gli affiliati di RansomHub utilizzano la crittografia a curva ellittica Curve 25519 per bloccare i file delle vittime.

Come fanno gli affiliati di RansomHub a non farsi scoprire?

Disattivano gli strumenti di sicurezza, cancellano i registri e rinominano gli eseguibili del ransomware per confonderli con i file legittimi.

Quali strumenti utilizza RansomHub per gli spostamenti laterali?

Strumenti come Remote Desktop Protocol (RDP), AnyDesk e PsExec sono utilizzati per muoversi lateralmente all'interno di reti compromesse.

Quali strategie di mitigazione possono aiutare a prevenire gli attacchi RansomHub?

L'implementazione di un'autenticazione a più fattori (MFA) resistente a phishing, il patching delle vulnerabilità e la segmentazione delle reti sono strategie di mitigazione fondamentali.

Qual è l'impatto di un attacco RansomHub?

Le vittime spesso subiscono tempi di inattività significativi e perdita di dati a causa della crittografia e della cancellazione dei backup, con conseguente paralisi operativa e richieste di riscatto elevate.

RansomHub

L'origine di RansomHub

Paesi presi di mira da RansomHub

Settori presi di mira da RansomHub

Healthcare

Financial Services and Banking

Critical National Infrastructure (CNI)

Energy and Utilities

Vittime di RansomHub

Il metodo di attacco di RansomHub

TTP utilizzati da RansomHub

How to Detect Threat Actors with Vectra AI

Azure AD MFA-Failed Suspicious Sign-On

Azure AD Privilege Operation Anomaly

M365 Suspect Power Automate Activity

Privilege Anomaly: Unusual Host

Ransomware File Activity

Suspicious Remote Desktop Protocol

Is Your Organization Safe from Cyber Attacks?

DOMANDE FREQUENTI

A quali settori si rivolge principalmente RansomHub?

Quali sono i Paesi più colpiti da RansomHub?

Come fa RansomHub a ottenere l'accesso iniziale?

Quali sono i metodi di esfiltrazione dei dati di RansomHub?

Come fa RansomHub ad aumentare i privilegi all'interno di una rete?

Quale metodo di crittografia utilizza RansomHub?

Come fanno gli affiliati di RansomHub a non farsi scoprire?

Quali strumenti utilizza RansomHub per gli spostamenti laterali?

Quali strategie di mitigazione possono aiutare a prevenire gli attacchi RansomHub?

Qual è l'impatto di un attacco RansomHub?