À medida que o RansomHub continua a recrutar os melhores talentos das operações fracassadas do LockBit e do ALPHV, ao mesmo tempo em que acumula uma miscelânea de vítimas, as agências de segurança e aplicação da lei nos EUA sentem que é hora de emitir um aviso oficial sobre o grupo que está buscando a supremacia do ransomware.
De acordo com o aviso de segurança da CISA, do FBI, do HHS e do MS-ISAC, o RansomHub acumulou pelo menos 210 vítimas desde que foi lançado em fevereiro deste ano.
Essa é uma entrada forte para qualquer estimativa, ainda mais para um grupo relativamente novo e formado por um grupo heterogêneo de afiliados recrutados de antigas operações líderes de ransomware.
Olhando para a extensa lista de setores que o grupo visou com sucesso, parece que os afiliados irão atrás de qualquer um, incluindo infraestrutura crítica e serviços de emergência.
O objetivo deste aviso é disseminar táticas, técnicas e procedimentos (TTPs) conhecidos para informar os defensores que podem então criar regras de detecção e interromper os ataques do RansomHub antes que eles aconteçam.
Quanto à forma como os afiliados tendem a invadir, eles adoram uma boa exploração de vulnerabilidade. A maioria das vulnerabilidades que o aviso observou como favoritas firmes para a gangue tinha apenas um ano. No entanto, bugs como CVE-2017-0144, o que sustentou a exploração EternalBlue da NSAe 2020 Logon Zero também foram usados com algum sucesso.
Ao monitorar os logs de rede, os defensores devem ficar de olho nos suspeitos de sempre: Mimikatz para coleta de credenciais, e Cobalt Strike e Metasploit para movimentação na rede, estabelecimento de infraestrutura C2 e exfiltração de dados.
Outro ferramentas são usadascomo PuTTY e buckets AWS S3 para extração de dados, mas o aviso tem a lista completa, e essas ferramentas e técnicas diferem substancialmente dependendo do afiliado que executa o ataque, então verificar todas elas sempre será uma boa ideia.
Várias mitigações também foram incluídas no aviso. Simplificando, muitas, se não todas, poderiam ser colocadas sob a categoria guarda-chuva de “o básico”, como manter sistemas e softwares atualizados, segmentar redes e impor políticas de senhas fortes, blá blá blá, você sabe o que fazer.
E, claro, a CISA está envolvida, então, obviamente, não perderia a oportunidade de divulgar seu mais recente Iniciativa Secure By Design. Ele disse que o software inseguro é a causa raiz de muitos problemas que as mitigações recomendadas visam, bem, mitigar, garantindo assim que a segurança seja incorporada à arquitetura do produto e tornando MFA obrigatório – idealmente do tipo resistente a phishing – para usuários privilegiados é fundamental.
“A CISA incentiva os fabricantes de software a assumirem a responsabilidade pela melhoria dos resultados de segurança dos seus clientes, aplicando estas e outras táticas de segurança por design”, afirmou. consultivo lê.
“Ao usar táticas de segurança por design, os fabricantes de software podem tornar suas linhas de produtos seguras “prontas para uso”, sem exigir que os clientes gastem recursos adicionais fazendo alterações de configuração, comprando software e registros de segurança, monitorando e fazendo atualizações de rotina.”
Competição acirrada
Considerando que levou quatro anos para finalmente paralisar o LockBit, parece que o RansomHub pode ter uma trajetória assustadoramente longa pela frente.
Desde que começou a girar em fevereiro como um suspeita de mudança de marca da Knightele costuma ficar entre os primeiros lugares nas tabelas mensais que rastreiam o número de vítimas reivindicadas por operações de ransomware.
Agora também é a escolha preferida de ransomware para grupos sofisticados, como Aranha dispersatalvez oferecendo uma visão de quão bem ele é considerado entre as elites cibercriminosas.
Há apenas oito meses, o RansomHub não existia e o LockBit e o ALPHV tinham um domínio firme no mercado de ransomware. Claro, havia concorrentes sérios, mas nenhum operava na mesma escala que os dois antigos gigantes.
Agora, um é pendurado por um fio e o outro não existe mais. Mas aqui temos o RansomHub competindo para tomar essa coroa e se consolidar como o novo LockBit ou ALPHV, usando seus antigos comparsas para fazer isso.
A competição, no entanto, é muito mais feroz agora do que era há apenas alguns meses. Os gostos de INC, Jogar, Akira, Faça issoe outros estão todos querendo reivindicar o primeiro lugar e todos eles estão postando números semelhantes.
Há, porém, um grupo que também não deve ser descartado e que foi recentemente apontado por ser muito mais ativo do que seu site de vazamento de dados sugere.
Os pesquisadores do Cisco Talos publicaram um relatório sobre BlackByte esta semana, descobrindo que apenas cerca de 20-30 por cento do número real de vítimas são postadas em seu site de vazamento. O motivo é indeterminado.
De acordo com os especialistas, acredita-se que o BlackByte seja um desdobramento do Conti, que durante seu auge superou o sucesso do LockBit e do ALPHV.
Dito isso, apesar de supostamente ser liderado por veteranos do crime cibernético, mesmo levando em conta as vítimas que não divulga, eles não estão nem perto de ser tão ativos quanto Conti já foi, registrando apenas 41 vítimas durante todo o ano de 2023 e apenas três neste ano. ®
