I criminali informatici legati al gruppo di ransomware RansomHub hanno crittografato ed esfiltrato dati da almeno 210 vittime sin dalla sua creazione, avvenuta a febbraio 2024, secondo quanto riferito dal governo degli Stati Uniti.
RansomHub e i suoi obbiettivi
Le vittime appartengono a vari settori, tra cui acqua e acque reflue, tecnologia dell’informazione (IT), servizi e strutture governative, sanità e salute pubblica, servizi di emergenza, alimentazione e agricoltura, servizi finanziari, strutture commerciali, produzione critica, trasporti e infrastrutture di comunicazione.
“RansomHub è una variante di ransomware-as-a-service—precedentemente conosciuta come Cyclops e Knight—che si è affermata come un modello di servizio efficiente e di successo (recentemente attirando affiliati di alto profilo da altre varianti di spicco come LockBit e ALPHV)“, hanno dichiarato le agenzie governative.
Una variante di ransomware-as-a-service (RaaS) discendente da Cyclops e Knight, l’operazione di crimine informatico ha attratto affiliati di alto profilo provenienti da altre varianti di rilievo come LockBit e ALPHV (noto anche come BlackCat) a seguito di una recente ondata di azioni delle forze dell’ordine.
ZeroFox, in un’analisi pubblicata alla fine del mese scorso, ha affermato che l’attività di RansomHub, come proporzione di tutte le attività di ransomware osservate dal fornitore di cybersecurity, è in aumento, rappresentando circa il 2% di tutti gli attacchi nel primo trimestre del 2024, il 5,1% nel secondo trimestre e il 14,2% finora nel terzo trimestre.
Analisi degli attacchi di RansomHub
“Circa il 34% degli attacchi di RansomHub ha preso di mira organizzazioni in Europa, rispetto al 25% nel panorama generale delle minacce“, ha osservato l’azienda.
Il gruppo è noto per utilizzare il modello della doppia estorsione, esfiltrando dati e crittografando i sistemi al fine di estorcere le vittime, che vengono invitate a contattare gli operatori tramite un URL .onion unico. Le aziende bersaglio che rifiutano di acconsentire alla richiesta di riscatto vedono le loro informazioni pubblicate sul sito di fuga di dati per un periodo che va da tre a 90 giorni.
L’accesso iniziale agli ambienti delle vittime è facilitato dallo sfruttamento di vulnerabilità di sicurezza note in dispositivi come Apache ActiveMQ (CVE-2023-46604), Atlassian Confluence Data Center e Server (CVE-2023-22515), Citrix ADC (CVE-2023-3519), F5 BIG-IP (CVE-2023-46747), Fortinet FortiOS (CVE-2023-27997) e Fortinet FortiClientEMS (CVE-2023-48788).
Questo passaggio è seguito dagli affiliati che conducono attività di ricognizione e scansione della rete utilizzando programmi come AngryIPScanner, Nmap e altri metodi “living-off-the-land” (LotL) e gli attacchi di RansomHub coinvolgono inoltre la disattivazione del software antivirus utilizzando strumenti personalizzati per passare inosservati.
Come “entra” RansomHub
“Dopo l’accesso iniziale, gli affiliati di RansomHub hanno creato account utente per garantire la persistenza, riabilitato account disabilitati e utilizzato Mimikatz su sistemi Windows per raccogliere credenziali [T1003] ed elevare i privilegi a SYSTEM“, si legge nell’avviso del governo degli Stati Uniti, continuando nel seguente modo: “Gli affiliati si sono poi mossi lateralmente all’interno della rete attraverso metodi come Remote Desktop Protocol (RDP), PsExec, AnyDesk, Connectwise, N-Able, Cobalt Strike, Metasploit o altri metodi ampiamente utilizzati di comando e controllo (C2).“
Un altro aspetto notevole degli attacchi di RansomHub è l’uso della crittografia intermittente per accelerare il processo, con l’esfiltrazione di dati osservata tramite strumenti come PuTTY, Amazon AWS S3 buckets, richieste HTTP POST, WinSCP, Rclone, Cobalt Strike, Metasploit e altri metodi.
Lo sviluppo arriva mentre l’Unità 42 di Palo Alto Networks ha svelato le tattiche associate al ransomware ShinyHunters, che traccia come Bling Libra, evidenziando il suo spostamento verso l’estorsione delle vittime rispetto alla loro tattica tradizionale di vendita o pubblicazione dei dati rubati. Questo criminale informatico è emerso per la prima volta nel 2020.
Come il gruppo di criminali informatici inganna i malcapitati
“Il gruppo acquisisce credenziali legittime, ottenute da repository pubblici, per ottenere l’accesso iniziale all’ambiente Amazon Web Services (AWS) di un’organizzazione,” hanno affermato i ricercatori di sicurezza Margaret Zimmermann e Chandni Vaya.
“Sebbene i permessi associati alle credenziali compromesse abbiano limitato l’impatto della violazione, Bling Libra ha infiltrato l’ambiente AWS dell’organizzazione e condotto operazioni di ricognizione. Il gruppo di criminali informatici ha utilizzato strumenti come Amazon Simple Storage Service (S3) Browser e WinSCP per raccogliere informazioni sulle configurazioni dei bucket S3, accedere agli oggetti S3 e cancellare dati.”
Questo si inserisce in un’evoluzione significativa degli attacchi ransomware, che sono passati dalla semplice crittografia dei file all’impiego di strategie di estorsione complesse e multifaccia, impiegando persino schemi di estorsione tripla e quadrupla, secondo SOCRadar.
“La tripla estorsione alza la posta in gioco, minacciando ulteriori mezzi di distruzione oltre alla crittografia e all’esfiltrazione“, ha detto l’azienda, che ha poi aggiunto: “Questo potrebbe comportare l’esecuzione di un attacco DDoS contro i sistemi della vittima o l‘estensione di minacce dirette ai clienti, fornitori o altri associati della vittima per arrecare ulteriori danni operativi e reputazionali a coloro che sono infine bersaglio dello schema di estorsione.“
La quadrupla estorsione alza ulteriormente la posta contattando terze parti che hanno relazioni commerciali con le vittime e estorcendo anche loro, o minacciando le vittime di esporre dati di terze parti per aumentare ulteriormente la pressione su una vittima affinché paghi.
La natura redditizia dei modelli RaaS ha alimentato un’ondata di nuove varianti di ransomware come Allarich, Cronus, CyberVolk, Datablack, DeathGrip, Hawk Eye e Insom e ha anche portato gli criminali informatici iraniani a collaborare con gruppi noti come NoEscape, RansomHouse e BlackCat in cambio di una parte dei proventi illeciti.
