La ciberdelincuencia evoluciona a un ritmo vertiginoso, poniendo constantemente a prueba la resistencia de las infraestructuras de seguridad. Entre las últimas amenazas emergentes se encuentra el grupo RansomHub, que ha ganado notoriedad rápidamente por sus ataques coordinados y sofisticados. Nacido tras el colapso de otros grupos notables como Alphv/BlackCat y LockBit, esta entidad representa una nueva generación de ransomware que opera con el modelo«Ransomware as a Service» (RaaS). Gracias a sus técnicas particularmente sofisticadas y a las estrategias que ha adoptado, RansomHub se ha establecido rápidamente en el ecosistema del ransomware.
Historia y ascenso
El grupo hizo su primera aparición significativa a principios de 2024. Como señaló la empresa de ciberseguridad Forescout en su análisis del pasado mes de mayo , RansomHub anunció su programa de afiliados el 2 de febrero de 2024. Publicado en el foro de la web oscura RAMP (Russian Anonymous Market Place) por un tal «Koley», el anuncio decía lo siguiente:
«Bienvenido a nuestro programa de afiliación RANSOMHUB.
Hemos tomado todos los pros y los contras de los programas de afiliación anteriores y hemos creado la nueva generación de ransomware.
Nos hemos dado cuenta de que la policía ha confiscado las cuentas de algunos afiliados o les ha impedido continuar con sus actividades fraudulentas, haciéndole perder sus fondos. Hemos adoptado una nueva estrategia. Puedes enviar tu cartera en la sala de chat y enviar el descifrador después de confirmar el pago. Usted no tiene que preocuparse por la seguridad de sus fondos.
Nuestra comisión fija es del 10% y nos pagas cuando recibes el dinero».
Con su mensaje, RansomHub busca socios ofreciéndoles un modelo de reparto de pagos fijo. Cuando se paga el rescate, la comisión fija de RansomHub es del 10% y el 90% restante va al afiliado. RansomHub también ha desarrollado su propio panel dedicado a los sitios de fuga de datos para que sus afiliados puedan gestionar las negociaciones con sus víctimas, estableciendo sus condiciones y reglas para cada afiliado. Es probable que esta lucrativa tarifa, superior a las ofertas más habituales, atraiga a afiliados experimentados de otros grupos de ransomware y aumente así los ataques y las víctimas vinculadas a RansomHub.
Escrito en Golang y C++, y compatible con Windows, Linux y ESXi , entre otros, Ransomhub se sitúa entre los ransomware modernos. Una de sus características distintivas es su modelo de pago, que difiere del de ALPHV y es probable que le haya granjeado el favor de muchos afiliados decepcionados con otros programas. Los investigadores también han encontrado similitudes de código con el ransomware Knight (antes conocido como Cyclops), cuyo código se vendió en la dark web en febrero de 2024.
¿Es RansomHub un digno heredero de Alphv/BlackCat y Lockbit?
Esta rápida expansión se vio facilitada por el vacío dejado por la caída de Alphv/BlackCat y el duro golpe asestado a Lockbit por la operación internacional Cronos en febrero de 2024. Sin duda, estos golpes a estos destacados grupos de ransomware permitierona RansomHub despegar como un cohete.
Otro elemento llamativo en el ascenso de RansomHub es el colapso del grupo Alphv/BlackCat, presentado por algunas fuentes como una oportunidad estratégica para atraer a antiguos afiliados. En marzo, Alphv anunció su repentina disolución tras la intervención de las fuerzas del orden, una declaración puesta en duda por varios investigadores de seguridad, que la consideraban más bien una «estafa de salida». En realidad, pronto se vio que esta disolución no era más que un subterfugio. La supuesta incautación de servidores por el FBI fue desmentida por las agencias implicadas, lo que sugiere una estafa de salida orquestada por los operadores de Alphv/BlackCat. La banda habría desaparecido junto con los pagos de los afiliados, incluidos los 22 millones de dólares abonados tras el ataque a Change Healthcare.
RansomHub, con su modelo de distribución de pagos directamente a los afiliados, supo aprovechar este clima de desconfianza para atraer a estos jugadores desilusionados. Estas circunstancias animaron a RansomHub a reclutar talentos experimentados que ahora habían quedado liberados de sus compromisos anteriores. Estos trasvases de afiliados han permitido a RansomHub no sólo aumentar su territorio de acción, sino también perfeccionar sus métodos inspirándose en los éxitos (y fracasos) anteriores de sus predecesores.
Un modelo operativo eficaz: RaaS
RansomHub destaca por la adopción del modelo RaaS (Ransomware-as-a-Service), que permite a sus afiliados utilizar su infraestructura para llevar a cabo ataques contra diversos objetivos. Este modelo ofrece mayor flexibilidad y eficacia, ya que cada afiliado puede personalizar sus métodos de ataque, lo que complica considerablemente la tarea de los defensores.
Parte del éxito meteórico de RansomHub ha sido la rápida integración de afiliados de otros grupos desarticulados, comoAlphv/BlackCat y LockBit. Estos afiliados no sólo aportan conocimientos técnicos, sino también una valiosa experiencia sobre el terreno. Por otra parte, este trasvase masivo plantea un doble reto: diversificar los objetivos y mantener al mismo tiempo sus sistemas de seguridad probados.
Un enfoque estratégico: dirigirse a sectores diversificados
Una característica particular de RansomHub es la diversidad de los sectores objetivo. Sus víctimas incluyen empresas de TI, instituciones financieras, proveedores de servicios sanitarios, servicios públicos e industrias manufactureras. Esta diversificación dificulta cualquier intento de categorización única y exige respuestas adaptadas a contextos específicos.
RansomHub se ha distinguido por su capacidad para atacar sectores críticos como el agua, los servicios de emergencia, el transporte y las finanzas, con víctimas que van desde cooperativas de crédito como Patelco hasta empresas multinacionales como el gigante petrolero Halliburton, la casa de subastas Christie’s y , más recientemente, Kawasaki Europe.
Este patrón de diversificación, junto con una fuerte presencia en Europa (34% de los ataques) y una creciente expansión en Norteamérica, refleja un movimiento estratégico para maximizar las oportunidades del ransomware a la vez que se distribuye el riesgo. Este enfoque globalizado y multisectorial ha permitido a RansomHub establecerse rápidamente como un actor clave en el panorama del ransomware. Con más de 250 ataques en su haber,CERT Synetis estima que RansomHub, dada su eficiencia y rápido crecimiento, podría convertirse en un actor importante en el mundo del ransomware para 2024.
Técnicas de ataque: explotación eficaz de las vulnerabilidades
RansomHub es especialmente ingenioso en lo que a técnicas se refiere, combinando métodos clásicos de ingeniería social como el phishing con técnicas más sofisticadas. En su último estudio, los investigadores de ciberseguridad de Trend Micro afirman que «RansomHub suele obtener acceso inicial dirigiéndose a sistemas orientados a Internet y puntos finales de usuario a través de métodos como correos electrónicos de phishing, explotación de vulnerabilidades conocidas y ataques de pulverización de contraseñas.»
El ataque de un grupo como RansomHub se basa en una estrategia metódica, representada aquí por su Cyber Kill Chain. Cada fase del ataque está diseñada para eludir las defensas y garantizar el máximo control sobre los sistemas comprometidos.
Ransomhub también explota vulnerabilidades críticas en software y servicios ampliamente utilizados, como Citrix ADC (CVE-2023-3519) y Fortinet FortiOS (CVE-2023-27997). Estas vulnerabilidades permiten el acceso inicial a los sistemas objetivo antes de utilizar herramientas como Mimikatz para escalar privilegios. El uso de exploits de prueba de concepto hace que sus ataques sean aún más difíciles de prevenir y detectar.
Su uso de herramientas preexistentes, a menudo desviadas de su propósito original, da fe de ello. Un ejemplo llamativo es el uso de TDSSKiller, una herramienta legítima desarrollada por Kaspersky para detectar y eliminar rootkits y bootkits complejos. Sin embargo, RansomHub la transforma en una herramienta para desactivar los servicios de Endpoint Detection and Response (EDR ).
Es precisamente esta inteligente manipulación de las soluciones legítimas lo que las hace tan difíciles de detectar. La estrategia consiste en ejecutar TDSSKiller a través de scripts de línea de comandos o archivos por lotes, enmascarando sus verdaderas intenciones antes de lanzar la herramienta LaZagne para cosechar identificadores de varias bases de datos de aplicaciones. Este proceso permite a RansomHub realizar movimientos laterales dentro de las redes comprometidas.
Explotación de TDSSKiller
Kaspersky diseñó TDSSKiller para escanear sistemas en busca de tipos de malware difíciles de detectar. Sin embargo, al eludir las defensas activadas por los agentes EDR, la versión modificada de RansomHub realiza acciones maliciosas sin levantar sospechas. Este proceso incluye funciones avanzadas como el borrado de los registros creados durante la extracción de datos sensibles, dificultando los esfuerzos de vigilancia y respuesta de los equipos de ciberseguridad.
En cuanto al malware LaZagne, aunque es fácilmente identificable en circunstancias normales, se vuelve más discreto cuando va precedido de un ataque con éxito a los dispositivos de protección a través de TDSSKiller. LaZagne permite a los atacantes recuperar información de inicio de sesión de diversas aplicaciones, como navegadores, clientes de correo electrónico y bases de datos, lo que aumenta su capacidad para moverse lateralmente dentro de la red. Esto da a los hackers una ventaja al neutralizar las barreras de protección antes de robar los datos.
«La herramienta EDRKillShifter funciona como un ejecutable «cargador», sirviendo como mecanismo de entrega para un controlador legítimo susceptible de abuso para terminar aplicaciones relacionadas con soluciones antivirus. Este tipo de herramienta se conoce a menudo como «Bring Your Own Vulnerable Driver » (BYOVD). El proceso de ejecución de este cargador implica tres pasos principales», reza el estudio de Trend Micro publicado el 20 de septiembre de 2024.
Las principales vulnerabilidades explotadas por RansomHub
Se sabe que RansomHub explota tanto vulnerabilidades conocidas en software de uso generalizado como vulnerabilidades de día cero. Estas son algunas de las principales vulnerabilidades explotadas por este grupo:
- CVE-2023-27350: vulnerabilidad crítica en Microsoft Exchange, que permite la ejecución remota de código.
- CVE-2022-1388: vulnerabilidad en F5 BIG-IP, que permite a atacantes remotos ejecutar comandos arbitrarios.
- CVE-2019-2725: vulnerabilidad en Oracle WebLogic que permite el acceso sin autenticación a atacantes.
- CVE-2020-1472 (Zerologon): vulnerabilidad crítica en el protocolo Netlogon de Microsoft, que permite a los atacantes tomar el control de un equipo, incluidos los controladores de dominio, y obtener privilegios elevados sin autenticación.
- CVE-2023-3519: defecto en Citrix ADC y Gateway, resultante de una validación de entrada incorrecta, a menudo explotado para la ejecución remota de código (RCE).
- CVE-2023-27997: desbordamiento de búfer en el cliente SSL VPN de Fortinet, que permite a atacantes no autenticados ejecutar código arbitrario en dispositivos vulnerables.
- CVE-2023-46604: vulnerabilidad de inyección de comandos que afecta a determinados sistemas, en particular sistemas de control industrial, permitiendo la ejecución remota de comandos.
- CVE-2023-22515: vulnerabilidad de elusión de autenticación en Confluence de Atlassian, que permite a usuarios no autorizados acceder a datos o sistemas sensibles.
- CVE-2023-46747: vulnerabilidad de ejecución remota de código en varias plataformas, que puede explotarse a través de servicios de red inseguros.
- CVE-2023-48788: vulnerabilidad en ciertas aplicaciones de software que podría conducir a la escalada de privilegios o a la ejecución de código arbitrario si se explota.
- CVE-2017-0144 (EternalBlue): vulnerabilidad en el protocolo SMB de Windows, explotada por el ransomware WannaCry, que permite la ejecución remota de código a través de paquetes SMB específicamente diseñados.
- CVE-2020-0787: vulnerabilidad local en Windows, que permite la elevación de privilegios a través de una mala gestión de la memoria virtual.
RansomHub favorece estas vulnerabilidades, a menudo dirigidas a organizaciones que retrasan la instalación de actualizaciones críticas. Por lo tanto, es esencial mantener una gestión rigurosa de las vulnerabilidades para protegerse no sólo contra RansomHub, sino contra todos los grupos de ransomware.
Medidas de mitigación recomendadas
Las agencias de seguridad recomiendan encarecidamente la aplicación de medidas proactivas para mitigar el impacto potencial de los ataques de RansomHub. Entre estas medidas, la aplicación periódica de parches a las vulnerabilidades explotables conocidas y la intensificación del uso de la autenticación de dos factores son líneas de defensa esenciales.
También es aconsejable no ceder al pago de rescates, ya que no ofrecen ninguna garantía de recuperación total de los archivos y pueden animar a los atacantes a atacar a más organizaciones. La vigilancia y la adaptación continua de las estrategias de seguridad siguen siendo las mejores armas contra esta amenaza en constante evolución.
El entorno tecnológico y de seguridad evoluciona constantemente, y es esencial comprender las tácticas utilizadas por grupos como RansomHub. Proteger la información sensible requiere una movilización colectiva y una adaptación constante de los protocolos de defensa frente a adversarios cada vez más ingeniosos y decididos.
Referencias y análisis :
RansomHub ransomware-as-a-service (estudio de group-ib)
Threat Profile RansomHub ransomware (informe Blackpoint para descargar)
RansomHub: el nuevo chico del barrio que hay que conocer (Cyberint)
RansomHub: El nuevo ransomware tiene sus orígenes en el antiguo Knight (Threat Hunter TeamSymantec)
El ascenso al poder de RansomHub: el nuevo líder del ransomware como servicio (en inglés)
