El gran protagonista del verano de 2024 ha sido RansomHub, calificado como principal grupo de ransomware como servicio (RaaS), hasta tal punto que ha llegado a reemplazar a LockBit3. Su poder es tal que se calcula que desde febrero ha atacado a 210 víctimas, mediante técnicas de doble extorsión, lo que ha provocado que las autoridades de EEUU hayan emitido un aviso conjunto en materia de ciberseguridad.
El Índice Global de Amenazas de Check Point Software de junio revela que, en pleno contexto de sofisticación y proliferación de las campañas de ransomware, RansomHub ha logrado expandirse con gran éxito, combinándose con otras amenazas como el backdoor BadSpace.
Para ser más exactos, RansomHub fue el grupo de ransomware más prevalente el mes de julio, responsable del 11% de los ataques publicados, seguido de LockBit3 con un 8% y Akira con un 6%.
El perfil de las víctimas
Más de dos millares de víctimas se han visto afectadas, hasta la fecha, por el potencial de RansomHub. En concreto, pertenecían a organizaciones de los sectores públicos y privados, incluyéndose la atención sanitaria, la tecnología de la información, el gobierno, los servicios de emergencia, alimentación, agricultura y tratamiento de aguas residuales. Otras infraestructuras críticas, pertenecientes a sectores como el transporte, la construcción y las comunicaciones, también se han visto afectadas.
Su método de actuación
Desde su aparición, RansomHub ha evolucionado rápidamente, hasta tal punto que puede ser considerado como una evolución del ransomware Knight e incluso del ransomware Cyclops. Ha logrado configurar su propia identidad, con técnicas y herramientas avanzadas, elevada eficiencia y gran capacidad para evadir las medidas de seguridad convencionales.
Para maximizar el daño entre sus víctimas, RansomHub se sirve de una enorme variedad de métodos. Así pues, recurre a ataques de phishing, exploits de vulnerabilidades conocidas y técnicas de ingeniería social.
Como nota característica, RansomHub recurre a estrategias de ransomware como servicio (RaaS), por lo que otros ciberdelincuentes pueden utilizar su infraestructura e incorporar nuevas funcionalidades a cambio de un porcentaje de los ingresos generados por los rescates.
Si RansomHub ha ganado notoriedad rápidamente es por sus agresivas campañas dirigidas a sistemas como: Windows, macOs, Linux y entornos VMware ESXi.
El concepto de malware como servicio (MaaS) se ha extendido, tal y como demuestra RansomHub. Se crea así un negocio inmejorable, pues los ciberdelincuentes pueden acceder a herramientas de malware a cambio de una suscripción mensual de entre 100 y 150 euros. Es un método de democratización de la ciberdelincuencia, pues personas con pocos conocimientos pueden formar parte de estas actividades delictivas tan extendidas y que afectan a todo tipo de entidades.
Según la Agencia Americana de Ciberseguridad – CISA, en un informe reciente, RansomHub se basa en la encriptación de los sistemas y en la exfiltración de datos para extorsionar a sus víctimas. Es un modelo de afiliados, pues el método exacto seguido para filtrar dichos datos dependerá del afiliado que haya accedido a la red de la víctima en cuestión.
Dentro de la red, los afiliados de RansomHub se encargan de cifrar los datos. En ese preciso instante, las víctimas reciben un ID de cliente e instrucciones para ponerse en contacto con el grupo por una URL.onion, mediante el navegador Tor.
El cifrado de curva elíptica Curve 25519 y un cifrado intermitente son los empleados por el grupo para actuar, dejando al margen los archivos ejecutables. Todas las IP son numeradas y vinculadas a QakBot, así como direcciones de correo electrónico como posibles IOC.
Se les suele dar a las víctimas entre 3 y 90 días para pagar el rescate y evitar que sus datos sean publicados en el sitio de fugas de datos de Tor RansomHub.
La caída de LockBit3
RansomHub ha logrado expandirse y reemplazar a LockBit3. Y es que, aunque en mayo alcanzó a 170 víctimas, en junio sus cifras apenas alcanzaron los 20 usuarios. Una caída que ha aprovechado RansomHub, desde su aparición en febrero de 2024, logrando impactar en casi 80 nuevas víctimas de todo el mundo durante el mes de junio.
El 25% de sus víctimas proceden de EEUU, aunque también se encuentran repartidas por otros países desarrollados como Italia, España, Brasil y Reino Unido.
Respuesta eficaz frente a RansomHub
Desde CISA se recomienda que aquellas empresas y particulares que sospechen que han sido víctimas de un ataque ejecutado por RansomHub, desconecten todos los hosts potencialmente afectados. A continuación, habrá que volver a crear una imagen nueva de ellos y emitir nuevas credenciales de cuenta. Además, se especifica la necesidad de monitorear sus sistemas para detectar cualquier tipo de comportamiento sospechoso.
En cualquier caso, es importante mantener múltiples copias de seguridad segmentadas de los datos, así como seguir las pautas del NIST en materia de políticas de contraseñas. De seguir evolucionando RansomHub, el papel de los CISO será fundamental, pues deberán asegurarse de que las organizaciones validan sus controles de seguridad con pruebas actualizadas. En el primer puesto de amenazas seguirán estando determinados sectores como la educación/investigación, el gobierno/militar y la comunicación.