Las autoridades estadounidenses han emitido un aviso conjunto de ciberseguridad dirigido a RansomHub, un grupo activo de ransomware.
Se cree que el grupo “cifró y robó” datos de al menos 210 víctimas utilizando una técnica de doble extorsión.
Las víctimas del grupo abarcaban organizaciones de los sectores público y privado, incluyendo atención médica, TI, gobierno, servicios de emergencia, alimentación y agricultura, y tratamiento de agua y aguas residuales. El grupo también apuntó a infraestructuras “críticas” en manufactura, transporte y comunicaciones.
Este aviso detalla tácticas, técnicas y procedimientos (TTP), indicadores de compromiso (IOC) y pasos que las organizaciones pueden tomar para protegerse.
Tácticas, técnicas y procedimientos de RansomHub
Según CISA, la agencia nacional de ciberdefensa de EE. UU., RansomHub utiliza una táctica de doble amenaza para “cifrar sistemas, exfiltrar datos y chantajear a las víctimas”. Sin embargo, debido a que RansomHub opera según un modelo de afiliado, el método específico de robo de datos varía según el afiliado que se infiltró en la red de la víctima.
Según las autoridades, las empresas asociadas con centros de rescate normalmente “comprometen los sistemas conectados a Internet y los puntos finales de los usuarios” mediante phishing, pulverización de contraseñas (dirigida a cuentas comprometidas por violaciones de contraseñas) y explotación de vulnerabilidades conocidas.
Una vez en una red, los actores del grupo cifran datos y arrojan notas de ransomware, que normalmente no incluyen demandas de rescate ni detalles de pago. En cambio, las víctimas reciben una identificación de cliente e instrucciones para contactar al grupo a través de una URL .onion desde su navegador Tor. Según los investigadores, las víctimas suelen tener entre tres y 90 días para pagar y, si no lo hacen, sus datos se publicarán en el sitio de violación de datos RansomHub Tor.
Para cifrar los datos, el grupo utiliza el algoritmo de cifrado de curva elíptica Curve 25519 con cifrado intermitente. Este ransomware tiene como objetivo datos y normalmente no cifra archivos ejecutables.
En este aviso, CISA enumera direcciones IP (muchas vinculadas a QakBot) y direcciones de correo electrónico como posibles IOC.
Cómo responder a los ataques de RansomHub
Si una víctima cree que fue atacada por un afiliado de RansomHub, las autoridades recomiendan que los hosts potencialmente afectados se desconecten, se les vuelva a crear una imagen y se les proporcionen nuevas credenciales de cuenta. También debe monitorear su sistema para detectar comportamientos sospechosos.
CISA y sus socios también recomiendan que las organizaciones mantengan múltiples copias de seguridad de datos segmentadas y sigan las pautas del NIST con respecto a las políticas de contraseñas. Los CISO también deben garantizar que la organización valide los controles de seguridad mediante pruebas y ejercicios.
Obtenga más información sobre la protección contra ransomware CISA: más de 850 dispositivos vulnerables protegidos mediante el programa ransomware CISA
La nota asesora conjunta sobre ciberseguridad #StopRansomware es publicada por el FBI, CISA, el Centro de análisis e intercambio de información multiestatal (MS-ISAC) y el Departamento de Salud y Servicios Humanos (HHS).
https://www.infosecurity-magazine.com/news/us-authorities-ransomhub/
