RansomHub
RansomHub è una variante di ransomware-as-a-service (RaaS), precedentemente nota come Cyclops e Knight.
L'origine di RansomHub
Emerso nel febbraio 2024, il gruppo ha crittografato ed esfiltrato i dati di oltre 210 vittime, sfruttando affiliati di alto profilo di altri gruppi ransomware come LockBit e ALPHV. L'operazione di RansomHub si concentra su un doppio modello di estorsione, in cui gli affiliati criptano i sistemi ed esfiltra i dati, minacciando di pubblicare i dati rubati se non vengono pagati i riscatti. Il gruppo è noto per la sua professionalità e sofisticazione tecnica.
Obiettivi
Obiettivi di RansomHub
Paesi presi di mira da RansomHub
RansomHub ha una portata globale, con vittime principalmente negli Stati Uniti e in Europa, concentrandosi su infrastrutture critiche e industrie chiave.
Il gruppo sostiene di non prendere di mira la Comunità degli Stati Indipendenti (CSI), Cuba, la Corea del Nord e la Cina, probabilmente a causa di paradisi operativi o protezioni legali.
Fonte della figura: Cyberint
Settori presi di mira da RansomHub
RansomHub si rivolge a un'ampia gamma di industrie, i cui settori principali sono i servizi alle imprese, il commercio al dettaglio e la produzione. Altri settori frequentemente colpiti sono i servizi educativi, il governo, la finanza, l'edilizia, la sanità, la tecnologia e le infrastrutture critiche. L'attenzione del gruppo per i settori critici evidenzia la sua ampia portata operativa, che rappresenta una minaccia significativa per le entità pubbliche e private.
Nonostante l'efficienza del gruppo, essi affermano di non prendere di mira le organizzazioni non profit.
Settori presi di mira da RansomHub
RansomHub si rivolge a un'ampia gamma di industrie, i cui settori principali sono i servizi alle imprese, il commercio al dettaglio e la produzione. Altri settori frequentemente colpiti sono i servizi educativi, il governo, la finanza, l'edilizia, la sanità, la tecnologia e le infrastrutture critiche. L'attenzione del gruppo per i settori critici evidenzia la sua ampia portata operativa, che rappresenta una minaccia significativa per le entità pubbliche e private.
Nonostante l'efficienza del gruppo, essi affermano di non prendere di mira le organizzazioni non profit.
Vittime di RansomHub
Dalla sua comparsa, oltre 324 organizzazioni sono state vittime di RansomHub, con un'attenzione particolare alle infrastrutture pubbliche, compresi i sistemi sanitari e le strutture governative. Questi attacchi interrompono i servizi vitali, causando notevoli tempi di inattività e richieste di riscatto consistenti.
Metodo di attacco
Il metodo di attacco di RansomHub
Gli affiliati di RansomHub ottengono l'accesso tramite le e-mail phishing , sfruttando le vulnerabilità e spruzzando password. Le vulnerabilità comuni sfruttate includono CVE-2023-3519 (Citrix ADC), CVE-2023-27997 (Fortinet) e CVE-2020-1472 (escalation dei privilegi di Netlogon).
Una volta entrati, gli affiliati aumentano i privilegi utilizzando strumenti come Mimikatz, consentendo il pieno controllo dei sistemi compromessi.
Disattivano gli strumenti di sicurezza, cancellano i registri e rinominano gli eseguibili del ransomware per confondersi con i file di sistema, eludendo il rilevamento.
Utilizzando strumenti per il dumping delle credenziali e lo spraying delle password, gli affiliati raccolgono le credenziali amministrative per accedere a sistemi di alto valore.
La ricognizione della rete viene condotta utilizzando strumenti come Nmap e PowerShell per identificare obiettivi validi e pianificare un ulteriore sfruttamento.
Gli affiliati si muovono lateralmente utilizzando strumenti come Remote Desktop Protocol (RDP), PsExec e AnyDesk, ottenendo l'accesso ad altri sistemi all'interno della rete.
I dati sensibili vengono esfiltrati utilizzando strumenti come Rclone e WinSCP, spesso a scopo di doppia estorsione, dove i dati rubati vengono utilizzati come leva nelle trattative per il riscatto.
Il ransomware viene eseguito attraverso la rete della vittima e cripta i file utilizzando la crittografia a curva ellittica Curve 25519.
L'esfiltrazione dei dati avviene tramite protocolli criptati, account cloud o trasferimenti diretti a server controllati dagli aggressori.
La crittografia di RansomHub rende inutilizzabili i sistemi delle vittime, causando spesso lunghi tempi di inattività. Gli affiliati eliminano i backup e le copie ombra dei volumi per impedire i tentativi di recupero, massimizzando la pressione sulle vittime per il pagamento del riscatto.
Accesso iniziale
Gli affiliati di RansomHub ottengono l'accesso tramite le e-mail phishing , sfruttando le vulnerabilità e spruzzando password. Le vulnerabilità comuni sfruttate includono CVE-2023-3519 (Citrix ADC), CVE-2023-27997 (Fortinet) e CVE-2020-1472 (escalation dei privilegi di Netlogon).
Escalation dei privilegi
Una volta entrati, gli affiliati aumentano i privilegi utilizzando strumenti come Mimikatz, consentendo il pieno controllo dei sistemi compromessi.
Difesa Evasione
Disattivano gli strumenti di sicurezza, cancellano i registri e rinominano gli eseguibili del ransomware per confondersi con i file di sistema, eludendo il rilevamento.
Accesso alle credenziali
Utilizzando strumenti per il dumping delle credenziali e lo spraying delle password, gli affiliati raccolgono le credenziali amministrative per accedere a sistemi di alto valore.
Scoperta
La ricognizione della rete viene condotta utilizzando strumenti come Nmap e PowerShell per identificare obiettivi validi e pianificare un ulteriore sfruttamento.
Movimento laterale
Gli affiliati si muovono lateralmente utilizzando strumenti come Remote Desktop Protocol (RDP), PsExec e AnyDesk, ottenendo l'accesso ad altri sistemi all'interno della rete.
Collezione
I dati sensibili vengono esfiltrati utilizzando strumenti come Rclone e WinSCP, spesso a scopo di doppia estorsione, dove i dati rubati vengono utilizzati come leva nelle trattative per il riscatto.
Esecuzione
Il ransomware viene eseguito attraverso la rete della vittima e cripta i file utilizzando la crittografia a curva ellittica Curve 25519.
Esfiltrazione
L'esfiltrazione dei dati avviene tramite protocolli criptati, account cloud o trasferimenti diretti a server controllati dagli aggressori.
Impatto
La crittografia di RansomHub rende inutilizzabili i sistemi delle vittime, causando spesso lunghi tempi di inattività. Gli affiliati eliminano i backup e le copie ombra dei volumi per impedire i tentativi di recupero, massimizzando la pressione sulle vittime per il pagamento del riscatto.
MITRE ATT&CK Mappatura
TTP utilizzati da RansomHub
TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
No items found.
TA0005: Defense Evasion
T1562
Impair Defenses
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
No items found.
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
No items found.
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1048
Exfiltration Over Alternative Protocol
TA0040: Impact
T1486
Data Encrypted for Impact
Rilevamenti della piattaforma
Come rilevare RansomHub con Vectra AI
DOMANDE FREQUENTI
A quali settori si rivolge principalmente RansomHub?
RansomHub attacca settori di infrastrutture critiche come la sanità, i servizi finanziari e le strutture governative.
Quali sono i Paesi più colpiti da RansomHub?
Il gruppo prende di mira principalmente organizzazioni negli Stati Uniti e in Europa, evitando i Paesi della CSI, Cuba, Corea del Nord e Cina.
Come fa RansomHub a ottenere l'accesso iniziale?
Gli affiliati sfruttano le vulnerabilità note, utilizzano gli attacchi phishing e sfruttano le credenziali rubate per infiltrarsi nei sistemi.
Quali sono i metodi di esfiltrazione dei dati di RansomHub?
Utilizzano strumenti come Rclone e WinSCP per esfiltrare dati sensibili su canali criptati.
Come fa RansomHub ad aumentare i privilegi all'interno di una rete?
Gli affiliati utilizzano strumenti come Mimikatz per estrarre le credenziali e scalare i privilegi a livello di sistema.
Quale metodo di crittografia utilizza RansomHub?
Gli affiliati di RansomHub utilizzano la crittografia a curva ellittica Curve 25519 per bloccare i file delle vittime.
Come fanno gli affiliati di RansomHub a non farsi scoprire?
Disattivano gli strumenti di sicurezza, cancellano i registri e rinominano gli eseguibili del ransomware per confonderli con i file legittimi.
Quali strumenti utilizza RansomHub per gli spostamenti laterali?
Strumenti come Remote Desktop Protocol (RDP), AnyDesk e PsExec sono utilizzati per muoversi lateralmente all'interno di reti compromesse.
Quali strategie di mitigazione possono aiutare a prevenire gli attacchi RansomHub?
L'implementazione di un'autenticazione a più fattori (MFA) resistente a phishing, il patching delle vulnerabilità e la segmentazione delle reti sono strategie di mitigazione fondamentali.
Qual è l'impatto di un attacco RansomHub?
Le vittime spesso subiscono tempi di inattività significativi e perdita di dati a causa della crittografia e della cancellazione dei backup, con conseguente paralisi operativa e richieste di riscatto elevate.