RANSOMHUB SE CONVIERTE EN EL PRINCIPAL GRUPO DE RANSOMWARE DE 2024 Y AFECTA A MÁS DE 600 ORGANIZACIONES DE TODO EL MUNDO
Se ha observado que los actores de amenazas detrás del esquema ransomware-as-a-service (RaaS) RansomHub aprovechan fallas de seguridad ahora parcheadas en Microsoft Active Directory y el protocolo Netlogon para escalar privilegios y obtener acceso no autorizado al controlador de dominio de la red víctima como parte de su estrategia posterior al compromiso.
“RansomHub ha atacado a más de 600 organizaciones en todo el mundo, que abarcan sectores como la atención médica, las finanzas, el gobierno y la infraestructura crítica, lo que lo establece firmemente como el grupo de ransomware más activo en 2024”, dijeron los analistas de Group-IB en un informe exhaustivo publicado esta semana.
El grupo de ransomware surgió por primera vez en febrero de 2024, adquiriendo el código fuente asociado con la ahora desaparecida banda Knight (anteriormente Cyclops) RaaS del foro de ciberdelincuencia RAMP para acelerar sus operaciones. Aproximadamente cinco meses después, se anunció una versión actualizada del locker en el mercado ilícito con capacidades para cifrar datos de forma remota a través del protocolo SFTP.
Viene en múltiples variantes capaces de cifrar archivos en servidores Windows, VMware ESXi y SFTP. También se ha observado que RansomHub recluta activamente afiliados de los grupos LockBit y BlackCat como parte de un programa de asociación, lo que indica un intento de sacar provecho de las acciones de las fuerzas de seguridad dirigidas a sus rivales.
