Agentes de ameaças vinculados ao grupo de ransomware RansomHub criptografaram e exfiltraram dados de pelo menos 210 vítimas desde sua criação em fevereiro de 2024, disse o governo dos EUA.
As vítimas abrangem vários setores, incluindo água e esgoto, tecnologia da informação, serviços e instalações governamentais, assistência médica e saúde pública, serviços de emergência, alimentação e agricultura, serviços financeiros, instalações comerciais, manufatura crítica, transporte e infraestrutura crítica de comunicações.
“O RansomHub é uma variante de ransomware como serviço, anteriormente conhecida como Cyclops e Knight, que se estabeleceu como um modelo de serviço eficiente e bem-sucedido (atraindo recentemente afiliados de alto nível de outras variantes importantes, como LockBit e ALPHV)”, disseram agências governamentais.
Uma variante de ransomware como serviço (RaaS) descendente do Cyclops e do Knight, a operação de crime eletrônico atraiu afiliados de alto perfil de outras variantes importantes, como LockBit e ALPHV (também conhecido como BlackCat), após uma onda recente de ações policiais.
A ZeroFox, em uma análise publicada no closing do mês passado, disse que a atividade do RansomHub como proporção de toda a atividade de ransomware observada pelo fornecedor de segurança cibernética está em uma trajetória ascendente, respondendo por aproximadamente 2% de todos os ataques no primeiro trimestre de 2024, 5,1% no segundo trimestre e 14,2% até agora no terceiro trimestre.
“Aproximadamente 34% dos ataques do RansomHub tiveram como alvo organizações na Europa, em comparação com 25% em todo o cenário de ameaças”, observou a empresa.
O grupo é conhecido por empregar o modelo de dupla extorsão para exfiltrar dados e criptografar sistemas para extorquir vítimas, que são instadas a contatar os operadores por meio de uma URL .onion exclusiva. As empresas visadas que se recusam a concordar com a demanda de resgate têm suas informações publicadas no website de vazamento de dados por um período entre três a 90 dias.
O acesso inicial aos ambientes das vítimas é facilitado pela exploração de vulnerabilidades de segurança conhecidas nos dispositivos Apache ActiveMQ (CVE-2023-46604), Atlassian Confluence Information Heart and Server (CVE-2023-22515), Citrix ADC (CVE-2023-3519), F5 BIG-IP (CVE-2023-46747), Fortinet FortiOS (CVE-2023-27997) e Fortinet FortiClientEMS (CVE-2023-48788), entre outros.
Esta etapa é sucedida por afiliados que conduzem reconhecimento e escaneamento de rede usando programas como AngryIPScanner, Nmap e outros métodos living-off-the-land (LotL). Os ataques do RansomHub envolvem ainda desarmar software program antivírus usando ferramentas personalizadas para voar sob o radar.
“Após o acesso inicial, os afiliados do RansomHub criaram contas de usuário para persistência, reativaram contas desativadas e usaram o Mimikatz em sistemas Home windows para coletar credenciais (T1003) e escalar privilégios para o SISTEMA”, diz o comunicado do governo dos EUA.
“Os afiliados então se moviam lateralmente dentro da rede por meio de métodos como Protocolo de Área de Trabalho Remota (RDP), PsExec, AnyDesk, Connectwise, N-In a position, Cobalt Strike, Metasploit ou outros métodos de comando e controle (C2) amplamente utilizados.”
Outro aspecto notável dos ataques do RansomHub é o uso de criptografia intermitente para acelerar o processo, com exfiltração de dados observada por meio de ferramentas como PuTTY, buckets Amazon AWS S3, solicitações HTTP POST, WinSCP, Rclone, Cobalt Strike, Metasploit e outros métodos.
O desenvolvimento ocorre enquanto a Unidade 42 da Palo Alto Networks desembrulha as táticas associadas ao ransomware ShinyHunters, que ele rastreia como Bling Libra, destacando sua mudança para extorquir vítimas em oposição à tática tradicional de vender ou publicar dados roubados. O ator da ameaça veio à tona pela primeira vez em 2020.
“O grupo adquire credenciais legítimas, provenientes de repositórios públicos, para obter acesso inicial ao ambiente Amazon Internet Companies (AWS) de uma organização”, disseram as pesquisadoras de segurança Margaret Zimmermann e Chandni Vaya.
“Embora as permissões associadas às credenciais comprometidas limitassem o impacto da violação, o Bling Libra se infiltrou no ambiente AWS da organização e conduziu operações de reconhecimento. O grupo de agentes de ameaças usou ferramentas como o Amazon Easy Storage Service (S3) Browser e o WinSCP para coletar informações sobre as configurações do bucket S3, acessar objetos S3 e excluir dados.”
Isso também segue uma evolução significativa nos ataques de ransomware, que foram além da criptografia de arquivos para empregar estratégias de extorsão complexas e multifacetadas, empregando até mesmo esquemas de extorsão triplos e quádruplos, de acordo com o SOCRadar.
“A extorsão tripla aumenta a aposta, ameaçando meios adicionais de interrupção além da criptografia e exfiltração”, disse a empresa.
“Isso pode envolver a realização de um ataque DDoS contra os sistemas da vítima ou a extensão de ameaças diretas aos clientes, fornecedores ou outros associados da vítima para causar mais danos operacionais e de reputação àqueles que são alvos do esquema de extorsão.”
A extorsão quádrupla aumenta a aposta ao contatar terceiros que têm relações comerciais com as vítimas e extorquir, ou ameaçar as vítimas de expor dados de terceiros para aumentar ainda mais a pressão sobre a vítima para que pague.
A natureza lucrativa dos modelos RaaS alimentou um aumento em novas variantes de ransomware como Allarich, Cronus, CyberVolk, Datablack, DeathGrip, Hawk Eye e Insom. Também levou atores de estados-nação iranianos a colaborar com grupos conhecidos como NoEscape, RansomHouse e BlackCat em troca de uma parte dos lucros ilícitos.
