Desde su aparición en febrero de 2024, los afiliados del ransomware RansomHub han pirateado a más de 200 víctimas en una amplia gama de sectores de infraestructura crítica en los Estados Unidos.
Esta operación relativamente nueva de ransomware como servicio (RaaS) extorsiona a las víctimas a cambio de no revelar archivos robados y vende los documentos al mejor postor si las negociaciones fracasan. El grupo de ransomware se centra en la extorsión basada en el robo de datos en lugar de cifrar los archivos de las víctimas, aunque también ha sido identificado como un comprador potencial del código fuente del ransomware Knight.
Desde principios de año, RansomHub se ha atribuido la responsabilidad de violaciones de seguridad contra la cooperativa de crédito sin fines de lucro estadounidense Patelco, la cadena de farmacias Rite Aid, la casa de subastas Christie’s y el operador de telecomunicaciones estadounidense Frontier Communications. Posteriormente, Frontier Communications notificó a más de 750.000 clientes que su información personal había quedado expuesta en una violación de datos.
Un aviso conjunto publicado hoy por el FBI, CISA, el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC) y el Departamento de Salud y Servicios Humanos (HHS) también confirma que los actores de amenazas apuntan a sus víctimas en ataques de doble extorsión.
agencias federales dijeron RansomHub (anteriormente conocido como Cyclops y Knight) “se ha establecido como un modelo de servicio eficiente y eficaz (recientemente ha atraído a afiliados de alto perfil de otras variantes importantes como LockBit y ALPHV)”.
“Desde su creación en febrero de 2024, RansomHub ha cifrado y filtrado los datos de al menos 210 víctimas que representan las industrias de agua y aguas residuales, tecnología de la información, servicios e instalaciones gubernamentales, atención médica y salud pública, servicios de emergencia, alimentación y agricultura, y finanzas. servicios, instalaciones comerciales, fabricación crítica, transporte e infraestructura de comunicaciones críticas”, agrega el aviso.
Las cuatro agencias autoras aconsejaron a los defensores de la red que implementaran las recomendaciones del aviso de hoy para reducir el riesgo y el impacto de los ataques de ransomware RansomHub.
Las empresas deberían centrarse en solucionar las vulnerabilidades ya explotadas y utilizar contraseñas seguras y autenticación multifactor (MFA) para el correo web, las VPN y las cuentas vinculadas a sistemas críticos. También se recomienda mantener el software actualizado y realizar evaluaciones de vulnerabilidad como parte de los protocolos de seguridad estándar.
Las cuatro agencias también proporcionan a RansomHub Indicadores de compromiso (IOC) e información sobre las tácticas, técnicas y procedimientos (TTP) de sus afiliados identificados durante las investigaciones del FBI en agosto de 2024.
“Las organizaciones perpetradoras no alientan el pago de un rescate porque el pago no garantiza que los archivos de las víctimas serán recuperados”, agregaron las agencias federales.
“Además, el pago también puede alentar a los adversarios a apuntar a otras organizaciones, alentar a otros actores criminales a participar en la distribución de ransomware y/o financiar actividades ilícitas. »