RansomHub
RansomHub était une variante de ransomware-as-a-service (RaaS), anciennement connue sous les noms de Cyclops et Knight.
L'origine de RansomHub
Apparu en février 2024, le groupe a crypté et exfiltré les données de plus de 210 victimes, en s'appuyant sur des affiliés de renom issus d'autres groupes de ransomware tels que LockBit et ALPHV. L'activité de RansomHub reposait sur un modèle de double extorsion, dans lequel les affiliés cryptaient les systèmes et exfiltraient les données, menaçant de publier les données volées si les rançons n'étaient pas payées. Le groupe était connu pour son professionnalisme et sa sophistication technique. RansomHub a été vu pour la dernière fois en mars 2025.
Pays ciblés par RansomHub
RansomHub avait une portée mondiale, avec des victimes principalement aux États-Unis et en Europe, ciblant principalement les infrastructures critiques et les industries clés.
Le groupe a déclaré éviter de cibler la Communauté des États indépendants (CEI), Cuba, la Corée du Nord et la Chine, probablement en raison de la sécurité opérationnelle ou des protections juridiques dont bénéficient ces pays.
Secteurs d'activité ciblés par RansomHub
RansomHub cible un large éventail d'industries, les secteurs les plus importants étant les services aux entreprises, le commerce de détail et l'industrie manufacturière. Les autres secteurs fréquemment touchés sont les services éducatifs, le gouvernement, la finance, la construction, les soins de santé, la technologie et les infrastructures critiques. L'accent mis par le groupe sur les secteurs critiques met en évidence son vaste champ d'action, qui représente une menace importante pour les entités publiques et privées.
Malgré son efficacité, le groupe affirme ne pas cibler les organisations à but non lucratif.
Les victimes de RansomHub
Plus de 844 organisations ont été victimes de RansomHub depuis son apparition, avec une attention particulière portée aux infrastructures publiques, notamment les systèmes de santé et les installations gouvernementales. Ces attaques ont perturbé des services essentiels, entraînant d'importantes interruptions opérationnelles et des demandes de rançon substantielles.
Méthode d'attaque de RansomHub
Les affiliés de RansomHub ont obtenu l'accès grâce à phishing , en exploitant des vulnérabilités et en utilisant la technique du « password spraying ». Les vulnérabilités couramment exploitées comprennent CVE-2023-3519 (Citrix ADC), CVE-2023-27997 (Fortinet) et CVE-2020-1472 (escalade de privilèges Netlogon).
Une fois à l'intérieur, les affiliés ont augmenté leurs privilèges à l'aide d'outils tels que Mimikatz, ce qui leur a permis de prendre le contrôle total des systèmes compromis.
Ils ont désactivé les outils de sécurité, effacé les journaux et renommé les fichiers exécutables du ransomware afin qu'ils se fondent dans les fichiers système, échappant ainsi à la détection.
À l'aide d'outils de vidage de données d'identification et de pulvérisation de mots de passe, les affiliés ont recueilli des identifiants administratifs pour accéder à des systèmes de grande valeur.
Une reconnaissance du réseau a été effectuée à l'aide d'outils tels que Nmap et PowerShell afin d'identifier des cibles intéressantes et de planifier une exploitation plus poussée.
Les affiliés se sont déplacés latéralement à l'aide d'outils tels que Remote Desktop Protocol (RDP), PsExec et AnyDesk, obtenant ainsi l'accès à d'autres systèmes au sein du réseau.
Les données sensibles ont été exfiltrées à l'aide d'outils tels que Rclone et WinSCP, souvent à des fins de double extorsion, les données volées étant utilisées comme moyen de pression dans les négociations de rançon.
Le ransomware a été exécuté sur l'ensemble du réseau de la victime, cryptant les fichiers à l'aide du cryptage à courbe elliptique Curve 25519.
Les données ont été exfiltrées via des protocoles cryptés, cloud ou des transferts directs vers des serveurs contrôlés par les pirates.
Le chiffrement de RansomHub rendait les systèmes des victimes inutilisables, entraînant souvent des temps d'arrêt opérationnels importants. Les affiliés supprimaient les sauvegardes et les clichés instantanés de volume afin d'empêcher toute tentative de récupération, maximisant ainsi la pression exercée sur les victimes pour qu'elles paient la rançon.
Les affiliés de RansomHub ont obtenu l'accès grâce à phishing , en exploitant des vulnérabilités et en utilisant la technique du « password spraying ». Les vulnérabilités couramment exploitées comprennent CVE-2023-3519 (Citrix ADC), CVE-2023-27997 (Fortinet) et CVE-2020-1472 (escalade de privilèges Netlogon).
Une fois à l'intérieur, les affiliés ont augmenté leurs privilèges à l'aide d'outils tels que Mimikatz, ce qui leur a permis de prendre le contrôle total des systèmes compromis.
Ils ont désactivé les outils de sécurité, effacé les journaux et renommé les fichiers exécutables du ransomware afin qu'ils se fondent dans les fichiers système, échappant ainsi à la détection.
À l'aide d'outils de vidage de données d'identification et de pulvérisation de mots de passe, les affiliés ont recueilli des identifiants administratifs pour accéder à des systèmes de grande valeur.
Une reconnaissance du réseau a été effectuée à l'aide d'outils tels que Nmap et PowerShell afin d'identifier des cibles intéressantes et de planifier une exploitation plus poussée.
Les affiliés se sont déplacés latéralement à l'aide d'outils tels que Remote Desktop Protocol (RDP), PsExec et AnyDesk, obtenant ainsi l'accès à d'autres systèmes au sein du réseau.
Les données sensibles ont été exfiltrées à l'aide d'outils tels que Rclone et WinSCP, souvent à des fins de double extorsion, les données volées étant utilisées comme moyen de pression dans les négociations de rançon.
Le ransomware a été exécuté sur l'ensemble du réseau de la victime, cryptant les fichiers à l'aide du cryptage à courbe elliptique Curve 25519.
Les données ont été exfiltrées via des protocoles cryptés, cloud ou des transferts directs vers des serveurs contrôlés par les pirates.
Le chiffrement de RansomHub rendait les systèmes des victimes inutilisables, entraînant souvent des temps d'arrêt opérationnels importants. Les affiliés supprimaient les sauvegardes et les clichés instantanés de volume afin d'empêcher toute tentative de récupération, maximisant ainsi la pression exercée sur les victimes pour qu'elles paient la rançon.
TTP utilisées par RansomHub
Comment détecter cybercriminels Vectra AI
Foire aux questions
Quels sont les secteurs d'activité ciblés par RansomHub ?
RansomHub s'attaque à des secteurs d'infrastructures critiques tels que les soins de santé, les services financiers et les installations gouvernementales.
Quels sont les pays les plus touchés par RansomHub ?
Le groupe cible principalement des organisations aux États-Unis et en Europe, en évitant les pays de la CEI, Cuba, la Corée du Nord et la Chine.
Comment RansomHub obtient-il l'accès initial ?
Les affiliés exploitent les vulnérabilités connues, utilisent les attaques phishing et s'appuient sur des informations d'identification volées pour s'infiltrer dans les systèmes.
Quelles sont les méthodes d'exfiltration de données de RansomHub ?
Ils utilisent des outils tels que Rclone et WinSCP pour exfiltrer des données sensibles via des canaux cryptés.
Comment RansomHub escalade-t-il les privilèges au sein d'un réseau ?
Les affiliés utilisent des outils tels que Mimikatz pour extraire des informations d'identification et accéder à des privilèges au niveau du système.
Quelle méthode de cryptage RansomHub utilise-t-il ?
Les affiliés de RansomHub utilisent le cryptage Curve 25519 à courbe elliptique pour verrouiller les fichiers des victimes.
Comment les affiliés de RansomHub évitent-ils d'être détectés ?
Ils désactivent les outils de sécurité, effacent les journaux et renomment les exécutables des ransomwares pour qu'ils se fondent dans les fichiers légitimes.
Quels sont les outils utilisés par RansomHub pour les déplacements latéraux ?
Des outils tels que Remote Desktop Protocol (RDP), AnyDesk et PsExec sont utilisés pour se déplacer latéralement au sein de réseaux compromis.
Quelles stratégies d'atténuation peuvent aider à prévenir les attaques par RansomHub ?
La mise en œuvre d'une authentification multifactorielle (MFA) résistante à phishing, la correction des vulnérabilités et la segmentation des réseaux sont des stratégies d'atténuation clés.
Quel est l'impact d'une attaque RansomHub ?
Les victimes subissent souvent des temps d'arrêt importants et des pertes de données dues au cryptage et à la suppression des sauvegardes, ce qui entraîne une paralysie opérationnelle et des demandes de rançon élevées.