RansomHub, el colectivo de ransomware que surgió a principios de este año, rápidamente ganó impulso, superando a sus colegas criminales y golpeando especialmente a sus víctimas. El grupo nombró y avergonzó a cientos de organizaciones en su sitio de filtración, al tiempo que exigió pagos exorbitantes en diversas industrias.
El grupo, un sospechoso cambio de marca de Knightapareció por primera vez en febrero y rápidamente recogió afiliados desempleados de Bit de bloqueo siguiendo la aplicación de la ley de esa tripulación Derribar aproximadamente al mismo tiempo. RansomHub también llenó con entusiasmo el vacío dejado por ALPHV/Gato Negro después de que ese grupo fuera ampliamente reportado salir de la estafa en marzo, alardeando de reclutar afiliados de ambos grupos desaparecidos a través de TOX y foros sobre delitos cibernéticos.
En agosto, apenas seis meses después de abrir sus puertas, RansomHub había se cobró 210 víctimas y llamó la atención del FBI, CISA y otras agencias gubernamentales que buscan ciberdelincuentes. Entre sus víctimas supuestamente se encuentran casa de subastas christie’s, Comunicaciones fronterizascadena de farmacias de estados unidos Ayuda de rito, Paternidad Planificaday bibliotecas públicas de delawareentre muchos otros.
Desde entonces, su marca de malware se ha convertido en el cifrado preferido por Araña dispersa y otros criminales sofisticados, y la pandilla registró un récord de 98 víctimas en su sitio de filtración en noviembre.
Pero, como han aprendido otros prolíficos ladrones digitales, incluido Scattered Spider, una serie de ataques de alto perfil pintan una objetivo muy grande sobre el grupo y sus afiliados. Si bien es mucho más difícil detener a los delincuentes de ransomware a los que los fiscales rusos dan protección, incluso Los ciberdelincuentes se toman vacaciones. – y a veces, la policía está esperando para hacer arrestos durante esos momentos.
La amenaza de ransomware «más activa y significativa»
«No quiero poner a RansomHub en un pedestal. Son un grupo oportunista», dijo Michael McPherson, vicepresidente senior de operaciones de seguridad de ReliaQuest. El Registro. «Pero fueron inteligentes al apropiarse de tierras cuando lo hicieron. Será interesante ver cuánto tiempo pueden mantener esta operación».
Durante su breve mandato, el grupo vinculado a Rusia se ha hecho un nombre como «la amenaza más activa y significativa actual en la actividad de ransomware», según un informe del 30 de octubre. informe de ReliaQuest, que calificó a la pandilla como el grupo de ransomware más dominante durante el tercer trimestre de 2024.
«Es un grupo interesante que tuvo un ascenso meteórico y casi parece surgir de la nada», admitió McPherson, ex agente especial del FBI. «Hubo un esfuerzo obvio por parte de RansomHub para ganar afiliados. Yo diría que son muy generosos en su modelo y anuncian una división de 90 a 10».
Esto significa que los afiliados que llevan a cabo el ataque pueden quedarse con el 90 por ciento del pago de la extorsión, mientras que los operadores de ransomware reciben el 10 por ciento. Una división 80-20 o 70-30 es más común entre estos grupos criminales, por lo que el pago más alto facilita que los nuevos chicos de la cuadra atraigan más trabajadores.
Será interesante ver cuánto tiempo pueden mantener esta carrera.
«Estos afiliados irán donde está el dinero, y si alguien paga más, sería una tontería no ir allí», opinó McPherson, añadiendo que este modelo de negocio «alimentaría la capacidad de RansomHub de salir y atacar a tantas víctimas a la vez tener una gran base de afiliados.»
Además, a los operadores de RansomHub en sus sitios web oscuros les gusta promocionar la transparencia con sus afiliados, probablemente un esfuerzo por generar confianza con otros delincuentes, luego de la supuesta estafa de salida de ALPHV.
«Hay marketing involucrado», observó McPherson. «Están contactando a sus afiliados, tratando de ser más socios con ellos. Están tratando de evolucionar y aprovechar el panorama cibercriminal para hacerse con participación de mercado. Eso es lo que quieren».
La tripulación «se movió rápido y llenó un vacío»
Aun así, las tácticas del grupo no son únicas, señaló. El grupo emplea código Knight reutilizado y métodos de doble extorsión, que utilizan la mayoría de las bandas de ransomware en la actualidad.
Esto implica primero irrumpir en la red de sus víctimas y robar archivos valiosos, y luego cifrar los datos en la red, mientras también extorsiona a las organizaciones por enormes sumas de dinero en sitios de filtración de la web oscura.
«Sus tácticas reales no son únicas, pero su capacidad para moverse rápido y llenar un vacío es lo que los hace tan notables en este momento», nos dijo McPherson. «O tal vez simplemente están tratando de correr lo más fuerte y rápido que pueden, porque saben que están protegidos donde están».
Los analistas de ZeroFox también han rastreado RansomHub aumentó este año e informó que el grupo representó aproximadamente el 2 por ciento de todos los ataques en el primer trimestre, el 5,1 por ciento en el segundo trimestre, el 14,2 por ciento en el tercer trimestre y alrededor del 20 por ciento en el cuarto trimestre.
Si bien es casi seguro que esto se estancará, existe la posibilidad de que el colectivo continúe atrayendo afiliados experimentados y siga siendo la amenaza más peligrosa.
«La mayor amenaza a principios de 2025 muy probablemente provendrá de RansomHub», afirma la empresa de seguridad. declarado (PDF) en un informe del 12 de diciembre que también calificó a RansomHub como «el equipo de I+D (ransomware y exfiltración de datos) más destacado» de 2024.
«El ritmo de ataque de RansomHub ha seguido una trayectoria ascendente constante, representando aproximadamente el 20 por ciento de todos los incidentes de I+D en el cuarto trimestre de 2024», según el informe.
«Si bien es casi seguro que esto se estancará, existe una posibilidad probable de que el colectivo continúe atrayendo afiliados experimentados y siga siendo la amenaza más peligrosa en materia de I+D», señaló.
«La forma en que realizan negocios y el ritmo al que exponen y publican a las víctimas es bastante común entre los nuevos grupos de ransomware», dijo el vicepresidente de inteligencia de ZeroFox, Adam Darrah. El Registro. «Es probable que RansomHub esté formado por individuos afiliados a otros colectivos de ransomware ya desaparecidos o cuya influencia esté menguando. No es raro que una nueva mafia de extorsión entre y cause sensación».
La elección presidencial estadounidense de este año probablemente también contribuyó al aumento de los ataques, añadió Darrah, ex analista político de la CIA.
«En el período previo a una elección importante en Estados Unidos, se estaban aprovechando de una comunidad de defensores, tanto dentro como fuera del gobierno, que ya están nerviosos por los ataques cibernéticos», dijo. «Los grupos de ransomware que tienen algún tipo de afiliación oficial o no oficial con un servicio de inteligencia de un estado-nación saben que publicar un número tan elevado de víctimas a un ritmo acelerado, a un ritmo tan alarmante, quita tiempo, atención y recursos a otras organizaciones defensivas. operaciones.»
Es importante tener en cuenta que el número de víctimas enumeradas no equivale directamente a ataques. Es posible que las víctimas que paguen la demanda de rescate (o lleguen a algún tipo de acuerdo con los delincuentes) nunca vean los nombres de sus organizaciones en los sitios de filtración de los delincuentes.
«Cuando aparecen en el radar tan rápido, eso también llama la atención de tipos buenos y muy capaces en todo el mundo», dijo Darrah. «Así que hay una razón por la que el ciclo de vida de algunos de estos grupos no es largo».
El informe de ZeroFox advierte que otras bandas de ransomware como MaullidoJugar ransomware y Cazadores Internacionales son «muy probables» que surjan como amenazas serias a principios de 2025. Si bien se desconoce cuánto tiempo RansomHub podrá mantener su funcionamiento, una cosa está clara: no faltan colectivos esperando ocupar su lugar en la cima de las listas. ®
