Atores de ameaça ligados ao grupo RansomHub, especializado em ransomware, criptografaram e exfiltraram dados de pelo menos 210 vítimas desde sua criação em fevereiro de 2024, disse o governo dos EUA.
As vítimas abrangem vários setores, incluindo água e esgoto, tecnologia da informação, serviços governamentais e instalações, saúde e saúde pública, serviços de emergência, alimentação e agricultura, serviços financeiros, instalações comerciais, fabricação crítica, transporte e infraestrutura crítica de comunicações.
"RansomHub é uma variante ransomware-as-a-service — anteriormente conhecido como Cyclops e Knight — que se estabeleceu como um modelo de serviço eficiente e bem-sucedido (atraindo recentemente afiliados de alto perfil de outras variantes proeminentes como LockBit e ALPHV)," disseram agências governamentais.
Uma variante ransomware-as-a-service (RaaS) que descende de Cyclops e Knight, a operação de e-crime atraiu afiliados de alto perfil de outras variantes proeminentes como LockBit e ALPHV (também conhecido como BlackCat) seguindo uma recente onda de ações de aplicação da lei.
ZeroFox, em uma análise publicada no mês passado, disse que a atividade do RansomHub como proporção de toda a atividade de ransomware observada pelo fornecedor de cibersegurança está em trajetória ascendente, representando aproximadamente 2% de todos os ataques no Q1 2024, 5.1% no Q2 e 14.2% até agora no Q3.
"Aproximadamente 34% dos ataques do RansomHub visaram organizações na Europa, em comparação com 25% em todo o cenário de ameaças," observou a empresa.
O grupo é conhecido por empregar o modelo de dupla extorsão para exfiltrar dados e criptografar sistemas a fim de extorquir as vítimas, que são instadas a entrar em contato com os operadores através de uma URL .onion única.
As empresas visadas que recusam atender à demanda de resgate têm suas informações publicadas no site de vazamento de dados por um período de três a 90 dias.
O acesso inicial aos ambientes das vítimas é facilitado explorando vulnerabilidades de segurança conhecidas em dispositivos Apache ActiveMQ (
CVE-2023-46604
), Atlassian Confluence Data Center and Server (
CVE-2023-22515
), Citrix ADC (
CVE-2023-3519
), F5 BIG-IP (
CVE-2023-46747
), Fortinet FortiOS (
CVE-2023-27997
) e Fortinet FortiClientEMS (
CVE-2023-48788
), entre outros.
Este passo é seguido por afiliados realizando reconhecimento e varredura de rede usando programas como AngryIPScanner, Nmap e outros métodos living-off-the-land (LotL).
Ataques do RansomHub envolvem também o desarmamento de softwares antivírus usando ferramentas customizadas para passar despercebidos.
"Após o acesso inicial, afiliados do RansomHub criaram contas de usuário para persistência, reativaram contas desativadas e usaram Mimikatz em sistemas Windows para coletar credenciais [T1003] e escalar privilégios para SYSTEM," lê-se no comunicado do governo dos EUA.
Os afiliados então se movimentaram lateralmente dentro da rede através de métodos incluindo Protocolo de Área de Trabalho Remota (RDP), PsExec, AnyDesk, Connectwise, N-Able, Cobalt Strike, Metasploit, ou outros métodos de comando e controle (C2) amplamente utilizados.
Outro aspecto notável dos ataques do RansomHub é o uso de criptografia intermitente para acelerar o processo, com exfiltração de dados observada através de ferramentas como PuTTY, baldes do Amazon AWS S3, solicitações POST HTTP, WinSCP, Rclone, Cobalt Strike, Metasploit e outros métodos.
Este desenvolvimento ocorre enquanto Palo Alto Networks Unit 42 desvendou as táticas associadas ao ransomware ShinyHunters, que rastreia como Bling Libra, destacando sua mudança para extorquir vítimas em oposição à sua tática tradicional de vender ou publicar dados roubados.
O ator de ameaça veio à luz pela primeira vez em 2020.
"O grupo adquire credenciais legítimas, provenientes de repositórios públicos, para obter acesso inicial ao ambiente Amazon Web Services (AWS) de uma organização," disseram os pesquisadores de segurança Margaret Zimmermann e Chandni Vaya.
Embora as permissões associadas às credenciais comprometidas tenham limitado o impacto da violação, Bling Libra infiltrou-se no ambiente AWS da organização e conduziu operações de reconhecimento.
O grupo de atores de ameaça usou ferramentas como o navegador do Amazon Simple Storage Service (S3) e WinSCP para coletar informações sobre configurações de bucket S3, acessar objetos S3 e deletar dados.
Isso também segue uma evolução significativa nos ataques de ransomware, que foram além da criptografia de arquivos para empregar estratégias de extorsão complexas e multifacetadas, até mesmo empregando esquemas de extorsão tripla e quádrupla, segundo a SOCRadar.
"Extorsão tripla aumenta a aposta, ameaçando meios adicionais de interrupção além da criptografia e exfiltração," disse a empresa.
Isto pode envolver realizar um ataque DDoS contra os sistemas da vítima ou estender ameaças diretas aos clientes da vítima, fornecedores ou outros associados para causar mais danos operacionais e de reputação àqueles ultimamente visados no esquema de extorsão.
Extorsão quádrupla aumenta a aposta ao entrar em contato com terceiros que têm relações comerciais com as vítimas e extorqui-los, ou ameaçar vítimas de expor dados de terceiros para aumentar ainda mais a pressão sobre uma vítima para pagar.
A natureza lucrativa dos modelos RaaS alimentou um aumento em novas variantes de ransomware como Allarich, Cronus, CyberVolk, Datablack, DeathGrip, Hawk Eye, e Insom.
Isso também levou atores estatais iranianos a colaborarem com grupos conhecidos como NoEscape, RansomHouse e BlackCat em troca de uma parte dos lucros ilícitos.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...