Se ha observado que los actores de amenazas detrás del esquema de ransomware como servicio (RaaS) RansomHub aprovechan las fallas de seguridad ahora parcheadas en Microsoft Active Directory y el protocolo Netlogon para escalar privilegios y obtener acceso no autorizado al controlador de dominio de la red de una víctima como parte de su estrategia posterior al ataque. 

• Los operadores de RansomHub anunciaron estratégicamente el programa de asociación del grupo en el foro RAMP el 2 de febrero de 2024.
• Los operadores de RansomHub aprovecharon el impacto de las operaciones de aplicación de la ley en LockBit y ALPHV para lanzar un programa de asociación y reclutar afiliados de estos grupos.
• Los actores de amenazas probablemente adquirieron el ransomware y el código fuente de la aplicación web del grupo Knight (también conocido como Cyclops).
• El ransomware funciona en diferentes sistemas operativos y arquitecturas, incluidos x86, x64 y ARM, así como Windows, ESXi, Linux y FreeBSD.
• El grupo comenzó a utilizar PCHunter para detener y eludir las soluciones de seguridad de endpoints.
• RansomHub utilizó Filezilla como herramienta de exfiltración.
• Los afiliados de RansomHub han revelado alrededor de 44 empresas de atención médica, incluidos hospitales y clínicas.
• Los afiliados pueden eventualmente amenazar y denunciar incidentes cibernéticos a reguladores como PDPL (Ley de Protección de Datos Personales).

"RansomHub ha atacado a más de 600 organizaciones en todo el mundo, que abarcan sectores como la atención médica, las finanzas, el gobierno y la infraestructura crítica, lo que lo establece firmemente como el grupo de ransomware más activo en 2024", dijeron los analistas de Group-IB en un informe exhaustivo publicado esta semana.

El grupo de ransomware surgió en febrero de 2024, adquiriendo el código fuente asociado con la ahora desaparecida banda Knight (anteriormente Cyclops) RaaS del foro de ciberdelito RAMP para acelerar sus operaciones. Aproximadamente cinco meses después, se anunció una versión actualizada del locker en el mercado ilícito con capacidades para cifrar datos de forma remota a través del protocolo SFTP.

RansomHub se presenta en múltiples variantes capaces de cifrar archivos en servidores Windows, VMware ESXi y SFTP. También se ha observado que RansomHub recluta activamente afiliados de los grupos LockBit y BlackCat como parte de un programa de asociación, lo que indica un intento de sacar provecho de las acciones de las fuerzas del orden dirigidas a sus rivales.

En el incidente analizado por la empresa de ciberseguridad de Singapur, se dice que el actor de la amenaza intentó sin éxito explotar una falla crítica que afecta a los dispositivos PAN-OS de Palo Alto Networks (CVE-2024-3400) utilizando una prueba de concepto (PoC) disponible públicamente, antes de finalmente vulnerar la red de la víctima mediante un ataque de fuerza bruta contra el servicio VPN.

"Este intento de fuerza bruta se basó en un diccionario enriquecido de más de 5.000 nombres de usuario y contraseñas. El atacante finalmente obtuvo acceso a través de una cuenta predeterminada que se usa con frecuencia en soluciones de respaldo de datos, y finalmente se vulneró el perímetro".

Luego se abusó del acceso inicial para llevar a cabo el ataque de ransomware, y tanto el cifrado como la exfiltración de datos se produjeron dentro de las 24 horas posteriores a la vulneración. En particular, implicó la utilización de dos fallas de seguridad conocidas en Active Directory (CVE-2021-42278, también conocida como noPac) y el protocolo Netlogon (CVE-2020-1472, también conocida como ZeroLogon) para tomar el control del controlador de dominio y realizar movimientos laterales a través de la red. 

"La explotación de las vulnerabilidades mencionadas anteriormente permitió al atacante obtener acceso privilegiado completo al controlador de dominio, que es el centro neurálgico de una infraestructura basada en Microsoft Windows", dijeron los investigadores. "Tras completar las operaciones de exfiltración, el atacante preparó el entorno para la fase final del ataque. El atacante operó para hacer que todos los datos de la empresa, guardados en los distintos NAS, fueran completamente ilegibles e inaccesibles, así como imposibles de restaurar, con el objetivo de obligar a la víctima a pagar el rescate para recuperar sus datos".

Otro aspecto notable del ataque es el uso de PCHunter para detener y eludir las soluciones de seguridad de endpoints, así como de Filezilla para la exfiltración de datos. PCHunter es una pequeña utilidad todo en uno desarrollada para detectar y eliminar malware, incluidos rootkits, que permite el acceso a varias configuraciones del sistema, como kernels y módulos de kernel, procesos, red, inicio y mucho más.

"Este entorno prospera gracias al intercambio, la reutilización y el cambio de marca de herramientas y códigos fuente, lo que alimenta un sólido mercado clandestino en el que las víctimas de alto perfil, los grupos infames y las importantes sumas de dinero desempeñan papeles centrales".

El desarrollo se produce cuando la empresa de ciberseguridad detalló el funcionamiento interno de un "formidable operador de RaaS" conocido como Lynx, arrojando luz sobre su flujo de trabajo de afiliados, su arsenal de ransomware multiplataforma para entornos Windows, Linux y ESXi, y modos de cifrado personalizables. 

Un análisis de las versiones de Windows y Linux del ransomware muestra que se parece mucho al ransomware INC, lo que indica que los actores de la amenaza probablemente adquirieron el código fuente de este último.

"Los afiliados reciben un incentivo con una participación del 80% de las ganancias del rescate, lo que refleja una estrategia competitiva impulsada por el reclutamiento. Recientemente, Lynx ha añadido varios modos de cifrado: rápido, medio, lento y completo, lo que ofrece a los afiliados la libertad de ajustar la relación entre velocidad y profundidad del cifrado de archivos".

Las publicaciones de reclutamiento del grupo en foros clandestinos destacan un estricto proceso de verificación para los pentesters y los equipos de intrusión capacitados, lo que pone de relieve el énfasis de Lynx en la seguridad operativa y el control de calidad. También ofrecen "centros de atención telefónica" para las víctimas de acoso y soluciones de almacenamiento avanzadas para los afiliados que ofrecen constantemente resultados rentables. 

En las últimas semanas, también se han observado ataques con motivaciones económicas que utilizan el malware de botnet Phorpiex (también conocido como Trik) propagado a través de correos electrónicos de phishing para distribuir el ransomware LockBit.

"A diferencia de los incidentes anteriores de ransomware LockBit, los actores de la amenaza confiaron en Phorpiex para distribuir y ejecutar el ransomware LockBit", señaló Cybereason en un análisis. "Esta técnica es única, ya que la implementación del ransomware generalmente consiste en operadores humanos que realizan el ataque".

Otro vector de infección inicial significativo se refiere a la explotación de dispositivos VPN sin parches (por ejemplo, CVE-2021-20038) para obtener acceso a dispositivos y hosts de red internos y, en última instancia, implementar el ransomware Abyss Locker.

Los ataques también se caracterizan por el uso de herramientas de tunelización para mantener la persistencia, así como por el aprovechamiento de técnicas Bring Your Own Vulnerable Driver (BYOVD) para deshabilitar los controles de protección de endpoints.

"Después de obtener acceso al entorno y realizar un reconocimiento, estas herramientas de tunelización se implementan estratégicamente en dispositivos de red críticos, incluidos hosts ESXi, hosts Windows, dispositivos VPN y dispositivos de almacenamiento conectados a red (NAS)", dijeron los investigadores de Sygnia. "Al atacar estos dispositivos, los atacantes aseguran canales de comunicación robustos y confiables para mantener el acceso y orquestar sus actividades maliciosas en toda la red comprometida".

El panorama del ransomware, liderado por actores de amenazas nuevos y antiguos, sigue en un estado de cambio, con ataques que van desde el cifrado tradicional hasta el robo de datos y la extorsión, incluso cuando las víctimas se niegan cada vez más a pagar, lo que lleva a una disminución de los pagos en 2024.

"Grupos como RansomHub y Akira ahora incentivan los datos robados con grandes recompensas, lo que hace que estas tácticas sean bastante lucrativas", dijo la firma de ciberseguridad Huntress.

Fuente: Group-IB

Vía:

https://blog.segu-info.com.ar/2025/02/ransomhub-fue-el-principal-grupo-de.html