A medida que RansomHub continúa reuniendo a los mejores talentos de las operaciones colapsadas de LockBit y ALPHV a pesar de su gran número de víctimas, las agencias de seguridad y aplicación de la ley de EE. UU. son cada vez más conscientes de la apuesta del grupo por la supremacía del ransomware. Creemos que ha llegado el momento de emitir un informe oficial. advertencia.
Según los avisos de seguridad de CISA, FBI, HHS y MS-ISAC, RansomHub ha recopilado al menos 210 víctimas desde su creación en febrero de este año.
Esta es una entrada sólida desde cualquier punto de vista, especialmente para un grupo que es relativamente nuevo y está formado por un grupo variopinto de actores provenientes de operaciones de ransomware previamente prominentes.
Al observar la extensa lista de industrias a las que el grupo se ha dirigido con éxito, parece que las empresas involucradas van tras todo, incluidas las infraestructuras críticas y los servicios de emergencia.
El propósito de este aviso es difundir tácticas, técnicas y procedimientos (TTP) conocidos para informar a los defensores para que puedan crear reglas de detección para detener los ataques de RansomHub antes de que se desarrollen.
Los métodos de infiltración de los compañeros tienden a basarse en la explotación de vulnerabilidades. La mayoría de las vulnerabilidades enumeradas como favoritas de los pares en el aviso se descubrieron hace apenas un año. Pero errores como CVE-2017-0144, que fue la base del exploit EternalBlue de la NSA, y ZeroLogon de 2020 también se han utilizado con cierto éxito.
Al monitorear los registros de la red, los defensores deben estar atentos a los sospechosos habituales, incluido Mimikatz, que recopila credenciales, y Cobalt Strike y Metasploit, que se mueven dentro de la red, establecen la infraestructura C2 y extraen los datos que hay.
Aunque también se utilizan otras herramientas como PuTTY y AWS S3 para la filtración de datos, este aviso proporciona una lista completa y los afiliados que realizan el ataque pueden explotar significativamente estas herramientas y técnicas, por lo que siempre es una buena idea comprobarlo. todos ellos.
La recomendación también incluía varias medidas de mitigación. En pocas palabras, muchos de ellos, si no todos, pueden agruparse en la categoría general de “básicos”. Por ejemplo, mantenga sus sistemas y software actualizados, segmente su red, aplique políticas de contraseñas seguras y se hará una idea.
Y por supuesto, con CISA involucrada, no puedes perder la oportunidad de promocionar tu última iniciativa Secure By Design. Según CISA, el software inseguro es la causa principal de muchos de los problemas que las mitigaciones recomendadas pretenden aliviar, por lo que es imprescindible garantizar que la seguridad esté integrada en la arquitectura del producto y proporcionar a los usuarios privilegiados MFA (idealmente resistente al phishing).
“CISA insta a los fabricantes de software a asumir la responsabilidad de mejorar los resultados de seguridad para sus clientes mediante la aplicación de estas estrategias y otras medidas de seguridad desde el diseño”, afirma el aviso.
“Al adoptar estrategias que garanticen la seguridad desde la etapa de diseño, los fabricantes de software pueden garantizar que sus clientes no tengan que gastar recursos adicionales para realizar cambios de configuración, comprar, monitorear y actualizar periódicamente el software y los registros de seguridad. Puede hacer que su línea de productos sea segura. “fuera de la caja.” “
dura competencia
Dado que se necesitaron cuatro años para finalmente derribar LockBit, parece que RansomHub podría existir durante un tiempo preocupantemente largo.
Desde su debut en febrero bajo lo que parece ser un cambio de marca de Knight, constantemente ha ocupado un lugar destacado en las tablas mensuales que rastrean el número de víctimas de ataques de ransomware.
También se ha convertido en la opción de ransomware preferida por grupos sofisticados como Scattered Spider, lo que puede explicar su gran prestigio entre la élite del cibercrimen.
Hace apenas ocho meses, RansomHub no existía y LockBit y ALPHV tenían un control firme en el mercado de ransomware. Ciertamente había competidores fuertes, pero ninguno operaba a la misma escala que los dos antiguos gigantes.
Ahora, uno sobrevive al borde del abismo y el otro perece. Pero RansomHub está compitiendo por destronarlo y establecerse como el nuevo LockBit o ALPHV con un viejo camarada.
Pero la competencia es mucho más intensa que hace unos meses. Juegos como INC, Play, Akira y Qilin compiten por el primer puesto y todos publican cifras similares.
Sin embargo, hay un grupo que no debe tomarse a la ligera y recientemente se ha observado que el grupo es mucho más activo de lo que sugiere el sitio de violación de datos.
Los investigadores de Cisco Talos publicaron un informe sobre BlackByte esta semana, revelando que el número de víctimas publicadas en el sitio filtrado es sólo alrededor del 20-30% del número real. Se desconoce el motivo.
Según los expertos, BlackByte se considera una rama de Conti, que en su apogeo tuvo más éxito que LockBit y ALPHV.
Dicho esto, a pesar de estar supuestamente dirigido por un veterano del cibercrimen, Conti ya no está tan activo como antes, incluso teniendo en cuenta las víctimas no reveladas, y permanecerá activo durante todo 2023. Hubo 41 víctimas en Japón, y solo 3 fueron reportadas este año. año. ®
https://packetstormsecurity.com/news/view/36281/RansomHub-Claims-210-Victims-In-Just-6-Months.html
