Afiliados del ransomware RansomHub han atacado al menos a 210 víctimas de distintos sectores críticos de infraestructura de Estados Unidos desde su aparición en febrero pasado.
Esta operación relativamente nueva de ransomware como servicio (RaaS, por sus siglas en inglés) extorsiona a las víctimas a cambio de no filtrar archivos robados y vende los documentos al mejor postor si las negociaciones fracasan.
Un advertencia conjunta (CSA, por sus siglas en inglés) publicada el jueves por la Oficina Federal de Investigaciones (FBI), la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC) y el Departamento de Salud y Servicios Humanos (HHS) señaló que los ciberdelincuentes apuntan a sus víctimas en ataques de doble extorsión.
“Desde su inicio en febrero de 2024, RansomHub ha cifrado y exfiltrado datos de al menos 210 víctimas que representan los sectores de agua y aguas residuales, tecnología de la información, servicios e instalaciones gubernamentales, atención médica y salud pública, servicios de emergencia, alimentos y agricultura, servicios financieros, instalaciones comerciales, fabricación crítica, transporte y comunicaciones, infraestructura crítica”, alertaron.
El grupo se centra en la extorsión basada en el robo de datos en lugar de cifrar los archivos de las víctimas, aunque también fueron identificados como compradores potenciales del código fuente del ransomware Knight.
Las dependencias estadounidenses dijeron que RansomHub, antes conocido como Cyclops y Knight, “se ha establecido como un modelo de servicio eficiente y exitoso —recientemente atrajo a afiliados de alto perfil de otras variantes prominentes como LockBit y ALPHV—”.
Las víctimas de Ransomhub
Desde principios de año, RansomHub se ha atribuido la responsabilidad de atacar a la cooperativa de crédito estadounidense sin fines de lucro Patelco, a la cadena de farmacias Rite Aid, a la casa de subastas Christie’s, al gigante de servicios petroleros Halliburton y al proveedor de telecomunicaciones estadounidense Frontier Communications.
Este último advirtió posteriormente a más de 750,000 clientes que su información personal quedó expuesta en una filtración de datos.
El sitio de filtración de datos de RansomHub también filtró datos robados de Change Healthcare después de que se cerrara la operación de ransomware BlackCat/ALPHV.
Emiten recomendaciones
Las cuatro dependencias de creación recomendaron a los defensores de la red que implementen las recomendaciones del aviso de hoy para reducir el riesgo y el impacto de los ataques del ransomware RansomHub.
Deberían centrarse en parchear las vulnerabilidades que ya se han explotado y utilizar contraseñas seguras y autenticación multifactor (MFA) para el correo web, la VPN y las cuentas vinculadas a sistemas críticos. También se recomienda mantener el software actualizado y realizar evaluaciones de vulnerabilidad como parte estándar de los protocolos de seguridad.
También proporcionan indicadores de compromiso (IOC) de RansomHub e información sobre las tácticas, técnicas y procedimientos (TTP) de sus afiliados identificados durante las investigaciones del FBI en agosto de 2024.
“Las organizaciones de creación no alientan a pagar un rescate, ya que el pago no garantiza que se recuperen los archivos de las víctimas”, agregaron las agencias federales.
“Además, el pago también puede envalentonar a los adversarios a atacar a otras organizaciones, alentar a otros actores criminales a participar en la distribución de ransomware y/o financiar actividades ilícitas”.
