RansomHub es un grupo de ransomware que inició sus actividades a principios de 2024, después de la desarticulación del grupo ALPHV/BlackCat. De hecho, el 2 de febrero de 2024, se presentó en el foro criminal RAMP para anunciar su programa de afiliados, compartiendo algunos lineamientos de su propuesta.
“Consideramos todos los pros y contras de los programas de afiliados anteriores y creamos la próxima generación de ransomware. Nuestra tasa fija es del 10% y usted nos paga cuando recibe el dinero”, puede leerse en esta carta de presentación.
Imagen 1.
Presentación del grupo RansomHub en un foro delictivo. Fuente: Forescout.com
¿Cómo funciona RansomHub?
Este grupo de cibercriminales opera específicamente bajo el modelo de Ransomware-as-a-Service (RaaS), lo que significa que ofrece herramientas, recursos y apoyo a sus afiliados, quienes son los encargados de llevar a cabo los ataques. Como se mencionó anteriormente, por este servicio, reciben un 10% de los pagos generados en cada ataque.
Es importante destacar que el grupo establece reglas muy claras para sus miembros, las cuales restringen sus objetivos. Por ejemplo, no se permite realizar ataques a hospitales sin fines de lucro ni a organizaciones de países específicos como Cuba, Corea del Norte y China.
Por otro lado, las principales víctimas suelen ser instituciones y empresas de alto perfil con gran capacidad de pago, especialmente aquellas que gestionan información sensible, como los sectores gubernamentales y corporativos.
De acuerdo con lo que informa el sitio The Hacker News, RansomHub utiliza un modelo de doble extorsión contra sus víctimas: las instigan a contactar a los operadores mediante una URL exclusiva .onion. Si las empresas se niegan a satisfacer las demandas del rescate, su información será publicada en el sitio oficial del grupo por un periodo que puede variar entre tres y 90 días.
Para obtener acceso inicial, la Agencia de Ciberseguridad y Seguridad de Infraestructuras de los Estados Unidos (CISA) informa que se explotan vulnerabilidades de seguridad conocidas en dispositivos como Apache ActiveMQ, Atlassian Confluence Data Center y Server, Citrix ADC, F5 BIG-IP, Fortinet FortiOS y Fortinet FortiClientEMS, entre otros.
«Tras ese acceso inicial –detalla CISA-, los afiliados de RansomHub crearon cuentas de usuario para persistencia, volvieron a habilitar cuentas deshabilitadas y utilizaron Mimikatz en sistemas Windows para recopilar credenciales [T1003] y escalar privilegios al SISTEMA».
RansomHub y su papel clave en el 2024.
Rápidamente, RansomHub se ha convertido en uno de los grupos de ransomware más activos a nivel mundial. De hecho, un informe del Gobierno de los Estados Unidos indicaba que, hasta agosto, el grupo había alcanzado más de 200 víctimas.
Adicionalmente, las estadísticas proporcionadas por Ransomlook evidencian claramente la evolución de este grupo de ransomware. En los últimos 30 días, el número de publicaciones de víctimas realizadas por este grupo alcanzó las 90, el doble que su competidor más cercano, Killsec3, que tuvo 45.
Imagen 2.
Actividad de los grupos de ransomware en el último mes. Fuente: Ransomlook.
Entre las empresas afectadas, se destacan sectores como aguas residuales, tecnología de la información, servicios gubernamentales, salud pública, servicios financieros, transporte e infraestructura crítica de comunicaciones, entre otros. A continuación, revisaremos algunos casos específicos y relevantes.
El significativo impacto de RansomHub en América Latina.
El sitio RansomLook ofrece un listado exhaustivo de todas las empresas y víctimas de RansomHub en todo el mundo. A continuación, analizaremos algunos de los casos más relevantes que ocurrieron en Latinoamérica, con el fin de comprender su impacto en la región.
Una de las víctimas más destacadas de este grupo de ransomware es el Gobierno de México, que sufrió el secuestro de más de 300 GB de datos de la Consejería Jurídica del Poder Ejecutivo Federal (CJEF), entre los datos expuestos se hallaban información clave del gobierno mexicano, incluyendo contratos y detalles sobre sus funcionarios. Como evidencia del ataque, el grupo hizo pública un contrato relacionado con las pautas para el arrendamiento de inmuebles utilizados por la Consejería Jurídica.
Imagen 3.
Filtración de datos del gobierno de México.
Una de las universidades más importantes de México fue víctima del ataque de RansomHub. Este incidente ocurrió en mayo de 2024 y, según declaraciones del propio grupo, afectó el cifrado de la información de aproximadamente 40,000 usuarios y empleados.
En Brasil, una de las víctimas fue una de las Fintech más prominentes en ese mercado. Según lo informado por RansomHub en julio, se accedió a más de 200 GB de datos, que incluían documentos confidenciales, bases de datos, correos electrónicos, código fuente e información privada de más de 6.000 restaurantes y más de 600.000 clientes.
Más allá de estos ejemplos específicos, el grupo dirigió sus ataques hacia universidades, instituciones gubernamentales y empresas en diversos países de América Latina, incluyendo México, Argentina, Chile, Perú, Brasil, Guatemala y El Salvador.
Conclusiones.
La llegada y el rápido crecimiento de RansomHub evidencian cómo los ataques de ransomware evolucionan y se vuelven cada vez más sofisticados.
Frente a esta situación, es fundamental que las organizaciones y empresas presten especial atención a mantenerse actualizadas en materia de protección, para evitar quedar expuestas a vulnerabilidades conocidas que podrían ser aprovechadas por actores maliciosos.
En este sentido, tomar la iniciativa en la identificación de amenazas e implantar una solución de seguridad robusta y completa es una decisión clave para reducir riesgos y abordar los retos que surgen con la continua evolución de las amenazas de ransomware.
Fuente web: https://www.welivesecurity.com/es/ransomware/ransomhub-crece-america-latina-nivel-global/