La vostra organizzazione è al sicuro dagli attacchi di RansomHub?

L'origine di RansomHub

Emerso nel febbraio 2024, il gruppo ha crittografato ed esfiltrato i dati di oltre 210 vittime, sfruttando affiliati di alto profilo di altri gruppi ransomware come LockBit e ALPHV. L'operazione di RansomHub si concentra su un doppio modello di estorsione, in cui gli affiliati criptano i sistemi ed esfiltra i dati, minacciando di pubblicare i dati rubati se non vengono pagati i riscatti. Il gruppo è noto per la sua professionalità e sofisticazione tecnica.

Obiettivi

Obiettivi di RansomHub

Paesi presi di mira da RansomHub

RansomHub ha una portata globale, con vittime principalmente negli Stati Uniti e in Europa, concentrandosi su infrastrutture critiche e industrie chiave.

Il gruppo sostiene di non prendere di mira la Comunità degli Stati Indipendenti (CSI), Cuba, la Corea del Nord e la Cina, probabilmente a causa di paradisi operativi o protezioni legali.

^{Fonte della figura:}^Cyberint

Settori presi di mira da RansomHub

RansomHub si rivolge a un'ampia gamma di industrie, i cui settori principali sono i servizi alle imprese, il commercio al dettaglio e la produzione. Altri settori frequentemente colpiti sono i servizi educativi, il governo, la finanza, l'edilizia, la sanità, la tecnologia e le infrastrutture critiche. L'attenzione del gruppo per i settori critici evidenzia la sua ampia portata operativa, che rappresenta una minaccia significativa per le entità pubbliche e private.

Nonostante l'efficienza del gruppo, essi affermano di non prendere di mira le organizzazioni non profit.

Settori presi di mira da RansomHub

RansomHub si rivolge a un'ampia gamma di industrie, i cui settori principali sono i servizi alle imprese, il commercio al dettaglio e la produzione. Altri settori frequentemente colpiti sono i servizi educativi, il governo, la finanza, l'edilizia, la sanità, la tecnologia e le infrastrutture critiche. L'attenzione del gruppo per i settori critici evidenzia la sua ampia portata operativa, che rappresenta una minaccia significativa per le entità pubbliche e private.

Nonostante l'efficienza del gruppo, essi affermano di non prendere di mira le organizzazioni non profit.

Vittime di RansomHub

Dalla sua comparsa, oltre 324 organizzazioni sono state vittime di RansomHub, con un'attenzione particolare alle infrastrutture pubbliche, compresi i sistemi sanitari e le strutture governative. Questi attacchi interrompono i servizi vitali, causando notevoli tempi di inattività e richieste di riscatto consistenti.

Metodo di attacco

Il metodo di attacco di RansomHub

Una figura ombrosa che getta un'ampia rete su un paesaggio digitale pieno di vari dispositivi come computer, smartphone e tablet. La rete simboleggia i tentativi dell'attaccante di trovare vulnerabilità o di utilizzare le tecniche di phishing per ottenere un accesso non autorizzato.

Gli affiliati di RansomHub ottengono l'accesso tramite le e-mail phishing , sfruttando le vulnerabilità e spruzzando password. Le vulnerabilità comuni sfruttate includono CVE-2023-3519 (Citrix ADC), CVE-2023-27997 (Fortinet) e CVE-2020-1472 (escalation dei privilegi di Netlogon).

Una scala digitale che si estende verso l'alto da un'icona utente di base verso una corona che simboleggia i privilegi amministrativi. Questo rappresenta gli sforzi dell'attaccante per ottenere un accesso di livello superiore all'interno del sistema.

Una volta entrati, gli affiliati aumentano i privilegi utilizzando strumenti come Mimikatz, consentendo il pieno controllo dei sistemi compromessi.

Un camaleonte che si mimetizza in uno sfondo digitale, con zeri e uno che gli scorrono intorno. Questo rappresenta la capacità dell'attaccante di evitare il rilevamento da parte delle misure di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.

Disattivano gli strumenti di sicurezza, cancellano i registri e rinominano gli eseguibili del ransomware per confondersi con i file di sistema, eludendo il rilevamento.

Un ladro con un kit di grimaldelli che lavora su un buco della serratura gigante a forma di modulo di login, che rappresenta gli sforzi dell'attaccante di rubare le credenziali dell'utente per ottenere un accesso non autorizzato.

Utilizzando strumenti per il dumping delle credenziali e lo spraying delle password, gli affiliati raccolgono le credenziali amministrative per accedere a sistemi di alto valore.

Una lente di ingrandimento che si muove su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per capire la struttura e dove risiedono i dati preziosi.

La ricognizione della rete viene condotta utilizzando strumenti come Nmap e PowerShell per identificare obiettivi validi e pianificare un ulteriore sfruttamento.

Una serie di nodi interconnessi con una figura oscura che si muove furtivamente tra di essi. Questo illustra i movimenti dell'attaccante all'interno della rete, che cerca di ottenere il controllo di altri sistemi o di diffondere malware.

Gli affiliati si muovono lateralmente utilizzando strumenti come Remote Desktop Protocol (RDP), PsExec e AnyDesk, ottenendo l'accesso ad altri sistemi all'interno della rete.

Un grande aspirapolvere che aspira file, icone di dati e cartelle in un sacchetto tenuto da una figura in ombra. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.

I dati sensibili vengono esfiltrati utilizzando strumenti come Rclone e WinSCP, spesso a scopo di doppia estorsione, dove i dati rubati vengono utilizzati come leva nelle trattative per il riscatto.

Una finestra del prompt dei comandi aperta davanti a uno sfondo digitale, con la digitazione di codice dannoso. Questa rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.

Il ransomware viene eseguito attraverso la rete della vittima e cripta i file utilizzando la crittografia a curva ellittica Curve 25519.

Una serie di file che vengono convogliati attraverso un canale nascosto da un computer a un sito cloud etichettato con un teschio, che simboleggia il trasferimento non autorizzato di dati a una posizione controllata dall'aggressore.

L'esfiltrazione dei dati avviene tramite protocolli criptati, account cloud o trasferimenti diretti a server controllati dagli aggressori.

Uno schermo incrinato con dietro un paesaggio urbano digitale in preda al caos, che simboleggia l'impatto distruttivo del cyberattacco, come l'interruzione del servizio, la distruzione dei dati o la perdita finanziaria.

La crittografia di RansomHub rende inutilizzabili i sistemi delle vittime, causando spesso lunghi tempi di inattività. Gli affiliati eliminano i backup e le copie ombra dei volumi per impedire i tentativi di recupero, massimizzando la pressione sulle vittime per il pagamento del riscatto.

Accesso iniziale

Gli affiliati di RansomHub ottengono l'accesso tramite le e-mail phishing , sfruttando le vulnerabilità e spruzzando password. Le vulnerabilità comuni sfruttate includono CVE-2023-3519 (Citrix ADC), CVE-2023-27997 (Fortinet) e CVE-2020-1472 (escalation dei privilegi di Netlogon).

Escalation dei privilegi

Una volta entrati, gli affiliati aumentano i privilegi utilizzando strumenti come Mimikatz, consentendo il pieno controllo dei sistemi compromessi.

Difesa Evasione

Disattivano gli strumenti di sicurezza, cancellano i registri e rinominano gli eseguibili del ransomware per confondersi con i file di sistema, eludendo il rilevamento.

Accesso alle credenziali

Utilizzando strumenti per il dumping delle credenziali e lo spraying delle password, gli affiliati raccolgono le credenziali amministrative per accedere a sistemi di alto valore.

Scoperta

La ricognizione della rete viene condotta utilizzando strumenti come Nmap e PowerShell per identificare obiettivi validi e pianificare un ulteriore sfruttamento.

Movimento laterale

Gli affiliati si muovono lateralmente utilizzando strumenti come Remote Desktop Protocol (RDP), PsExec e AnyDesk, ottenendo l'accesso ad altri sistemi all'interno della rete.

Collezione

I dati sensibili vengono esfiltrati utilizzando strumenti come Rclone e WinSCP, spesso a scopo di doppia estorsione, dove i dati rubati vengono utilizzati come leva nelle trattative per il riscatto.

Esecuzione

Il ransomware viene eseguito attraverso la rete della vittima e cripta i file utilizzando la crittografia a curva ellittica Curve 25519.

Esfiltrazione

L'esfiltrazione dei dati avviene tramite protocolli criptati, account cloud o trasferimenti diretti a server controllati dagli aggressori.

Impatto

La crittografia di RansomHub rende inutilizzabili i sistemi delle vittime, causando spesso lunghi tempi di inattività. Gli affiliati eliminano i backup e le copie ombra dei volumi per impedire i tentativi di recupero, massimizzando la pressione sulle vittime per il pagamento del riscatto.

MITRE ATT&CK Mappatura

TTP utilizzati da RansomHub

TA0001: Initial Access

T1566

Phishing

T1190

Exploit Public-Facing Application

TA0002: Execution

T1059

Command and Scripting Interpreter

TA0003: Persistence

No items found.

TA0004: Privilege Escalation

No items found.

TA0005: Defense Evasion

T1562

Impair Defenses

TA0006: Credential Access

T1003

OS Credential Dumping

TA0007: Discovery

No items found.

TA0008: Lateral Movement

T1021

Remote Services

TA0009: Collection

No items found.

TA0011: Command and Control

No items found.

TA0010: Exfiltration

T1048

Exfiltration Over Alternative Protocol

TA0040: Impact

T1486

Data Encrypted for Impact

Rilevamenti della piattaforma

Come rilevare RansomHub con Vectra AI

Azure AD MFA-Failed Suspicious Sign-On

Azure AD Privilege Operation Anomaly

M365 Suspect Power Automate Activity

Privilege Anomaly: Unusual Host

Ransomware File Activity

Suspicious Remote Desktop Protocol

Visualizza altri rilevamenti

Valutare l'esposizione agli attacchi

DOMANDE FREQUENTI

A quali settori si rivolge principalmente RansomHub?

RansomHub attacca settori di infrastrutture critiche come la sanità, i servizi finanziari e le strutture governative.

Quali sono i Paesi più colpiti da RansomHub?

Il gruppo prende di mira principalmente organizzazioni negli Stati Uniti e in Europa, evitando i Paesi della CSI, Cuba, Corea del Nord e Cina.

Come fa RansomHub a ottenere l'accesso iniziale?

Gli affiliati sfruttano le vulnerabilità note, utilizzano gli attacchi phishing e sfruttano le credenziali rubate per infiltrarsi nei sistemi.

Quali sono i metodi di esfiltrazione dei dati di RansomHub?

Utilizzano strumenti come Rclone e WinSCP per esfiltrare dati sensibili su canali criptati.

Come fa RansomHub ad aumentare i privilegi all'interno di una rete?

Gli affiliati utilizzano strumenti come Mimikatz per estrarre le credenziali e scalare i privilegi a livello di sistema.

Quale metodo di crittografia utilizza RansomHub?

Gli affiliati di RansomHub utilizzano la crittografia a curva ellittica Curve 25519 per bloccare i file delle vittime.

Come fanno gli affiliati di RansomHub a non farsi scoprire?

Disattivano gli strumenti di sicurezza, cancellano i registri e rinominano gli eseguibili del ransomware per confonderli con i file legittimi.

Quali strumenti utilizza RansomHub per gli spostamenti laterali?

Strumenti come Remote Desktop Protocol (RDP), AnyDesk e PsExec sono utilizzati per muoversi lateralmente all'interno di reti compromesse.

Quali strategie di mitigazione possono aiutare a prevenire gli attacchi RansomHub?

L'implementazione di un'autenticazione a più fattori (MFA) resistente a phishing, il patching delle vulnerabilità e la segmentazione delle reti sono strategie di mitigazione fondamentali.

Qual è l'impatto di un attacco RansomHub?

Le vittime spesso subiscono tempi di inattività significativi e perdita di dati a causa della crittografia e della cancellazione dei backup, con conseguente paralisi operativa e richieste di riscatto elevate.

La vostra organizzazione è al sicuro dagli attacchi di RansomHub?

Valutare l'esposizione agli attacchi