RansomHub
RansomHub est une variante de ransomware-as-a-service (RaaS), connue auparavant sous les noms de Cyclops et Knight.
L'origine de RansomHub
Apparu en février 2024, le groupe a chiffré et exfiltré les données de plus de 210 victimes, en s'appuyant sur des affiliés très connus d'autres groupes de ransomware tels que LockBit et ALPHV. Le fonctionnement de RansomHub repose sur un double modèle d'extorsion, dans lequel les affiliés chiffrent les systèmes et exfiltrent les données, en menaçant de publier les données volées si les rançons ne sont pas payées. Le groupe est connu pour son professionnalisme et sa sophistication technique.
Cibles
Les cibles de RansomHub
Pays ciblés par RansomHub
RansomHub a une portée mondiale, les victimes se trouvant principalement aux États-Unis et en Europe, et se concentrant sur les infrastructures critiques et les industries clés.
Le groupe affirme éviter de cibler la Communauté des États indépendants (CEI), Cuba, la Corée du Nord et la Chine, probablement en raison des refuges opérationnels ou des protections juridiques.
Source du graphique : Cyberint
Secteurs d'activité ciblés par RansomHub
RansomHub cible un large éventail d'industries, les secteurs les plus importants étant les services aux entreprises, le commerce de détail et l'industrie manufacturière. Les autres secteurs fréquemment touchés sont les services éducatifs, le gouvernement, la finance, la construction, les soins de santé, la technologie et les infrastructures critiques. L'accent mis par le groupe sur les secteurs critiques met en évidence son vaste champ d'action, qui représente une menace importante pour les entités publiques et privées.
Malgré son efficacité, le groupe affirme ne pas cibler les organisations à but non lucratif.
Secteurs d'activité ciblés par RansomHub
RansomHub cible un large éventail d'industries, les secteurs les plus importants étant les services aux entreprises, le commerce de détail et l'industrie manufacturière. Les autres secteurs fréquemment touchés sont les services éducatifs, le gouvernement, la finance, la construction, les soins de santé, la technologie et les infrastructures critiques. L'accent mis par le groupe sur les secteurs critiques met en évidence son vaste champ d'action, qui représente une menace importante pour les entités publiques et privées.
Malgré son efficacité, le groupe affirme ne pas cibler les organisations à but non lucratif.
Les victimes de RansomHub
Plus de 324 organisations ont été victimes de RansomHub depuis son apparition, l'accent étant mis sur les infrastructures publiques, notamment les systèmes de santé et les installations gouvernementales. Ces attaques perturbent les services vitaux, entraînant d'importants temps d'arrêt et des demandes de rançon considérables.
Méthode d'attaque
Méthode d'attaque de RansomHub
Les affiliés de RansomHub obtiennent l'accès en envoyant des courriels à l'adresse phishing , en exploitant des vulnérabilités et en diffusant des mots de passe. Les vulnérabilités les plus couramment exploitées sont CVE-2023-3519 (Citrix ADC), CVE-2023-27997 (Fortinet) et CVE-2020-1472 (escalade des privilèges Netlogon).
Une fois à l'intérieur, les affiliés escaladent leurs privilèges à l'aide d'outils tels que Mimikatz, ce qui leur permet de prendre le contrôle total des systèmes compromis.
Ils désactivent les outils de sécurité, effacent les journaux et renomment les exécutables des ransomwares pour qu'ils se fondent dans les fichiers système et échappent ainsi à la détection.
À l'aide d'outils de vidage d'informations d'identification et de pulvérisation de mots de passe, les affiliés recueillent des informations d'identification administratives pour accéder à des systèmes de grande valeur.
La reconnaissance du réseau est effectuée à l'aide d'outils tels que Nmap et PowerShell afin d'identifier les cibles intéressantes et de planifier la suite de l'exploitation.
Les affiliés se déplacent latéralement à l'aide d'outils tels que Remote Desktop Protocol (RDP), PsExec et AnyDesk, ce qui leur permet d'accéder à d'autres systèmes au sein du réseau.
Les données sensibles sont exfiltrées à l'aide d'outils tels que Rclone et WinSCP, souvent à des fins de double extorsion, où les données volées sont utilisées comme levier dans les négociations de la rançon.
Le ransomware est exécuté sur le réseau de la victime et crypte les fichiers à l'aide du cryptage Curve 25519 à courbe elliptique.
Les données sont exfiltrées par le biais de protocoles cryptés, de comptes cloud ou de transferts directs vers des serveurs contrôlés par les attaquants.
Le chiffrement de RansomHub rend les systèmes des victimes inopérants, ce qui entraîne souvent des temps d'arrêt importants. Les affiliés suppriment les sauvegardes et les copies d'ombre des volumes afin d'empêcher toute tentative de récupération, ce qui pousse les victimes à payer la rançon.
Accès Initial
Les affiliés de RansomHub obtiennent l'accès en envoyant des courriels à l'adresse phishing , en exploitant des vulnérabilités et en diffusant des mots de passe. Les vulnérabilités les plus couramment exploitées sont CVE-2023-3519 (Citrix ADC), CVE-2023-27997 (Fortinet) et CVE-2020-1472 (escalade des privilèges Netlogon).
Élévation de privilèges
Une fois à l'intérieur, les affiliés escaladent leurs privilèges à l'aide d'outils tels que Mimikatz, ce qui leur permet de prendre le contrôle total des systèmes compromis.
Défense Evasion
Ils désactivent les outils de sécurité, effacent les journaux et renomment les exécutables des ransomwares pour qu'ils se fondent dans les fichiers système et échappent ainsi à la détection.
Accès aux identifiants
À l'aide d'outils de vidage d'informations d'identification et de pulvérisation de mots de passe, les affiliés recueillent des informations d'identification administratives pour accéder à des systèmes de grande valeur.
Découverte
La reconnaissance du réseau est effectuée à l'aide d'outils tels que Nmap et PowerShell afin d'identifier les cibles intéressantes et de planifier la suite de l'exploitation.
Mouvement latéral
Les affiliés se déplacent latéralement à l'aide d'outils tels que Remote Desktop Protocol (RDP), PsExec et AnyDesk, ce qui leur permet d'accéder à d'autres systèmes au sein du réseau.
Collection
Les données sensibles sont exfiltrées à l'aide d'outils tels que Rclone et WinSCP, souvent à des fins de double extorsion, où les données volées sont utilisées comme levier dans les négociations de la rançon.
Exécution
Le ransomware est exécuté sur le réseau de la victime et crypte les fichiers à l'aide du cryptage Curve 25519 à courbe elliptique.
Exfiltration
Les données sont exfiltrées par le biais de protocoles cryptés, de comptes cloud ou de transferts directs vers des serveurs contrôlés par les attaquants.
Impact
Le chiffrement de RansomHub rend les systèmes des victimes inopérants, ce qui entraîne souvent des temps d'arrêt importants. Les affiliés suppriment les sauvegardes et les copies d'ombre des volumes afin d'empêcher toute tentative de récupération, ce qui pousse les victimes à payer la rançon.
MITRE ATT&CK Mapping
TTP utilisées par RansomHub
TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
No items found.
TA0005: Defense Evasion
T1562
Impair Defenses
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
No items found.
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
No items found.
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1048
Exfiltration Over Alternative Protocol
TA0040: Impact
T1486
Data Encrypted for Impact
Détections de la plate-forme
Comment détecter RansomHub avec Vectra AI
Foire aux questions
Quels sont les secteurs d'activité ciblés par RansomHub ?
RansomHub s'attaque à des secteurs d'infrastructures critiques tels que les soins de santé, les services financiers et les installations gouvernementales.
Quels sont les pays les plus touchés par RansomHub ?
Le groupe cible principalement des organisations aux États-Unis et en Europe, en évitant les pays de la CEI, Cuba, la Corée du Nord et la Chine.
Comment RansomHub obtient-il l'accès initial ?
Les affiliés exploitent les vulnérabilités connues, utilisent les attaques phishing et s'appuient sur des informations d'identification volées pour s'infiltrer dans les systèmes.
Quelles sont les méthodes d'exfiltration de données de RansomHub ?
Ils utilisent des outils tels que Rclone et WinSCP pour exfiltrer des données sensibles via des canaux cryptés.
Comment RansomHub escalade-t-il les privilèges au sein d'un réseau ?
Les affiliés utilisent des outils tels que Mimikatz pour extraire des informations d'identification et accéder à des privilèges au niveau du système.
Quelle méthode de cryptage RansomHub utilise-t-il ?
Les affiliés de RansomHub utilisent le cryptage Curve 25519 à courbe elliptique pour verrouiller les fichiers des victimes.
Comment les affiliés de RansomHub évitent-ils d'être détectés ?
Ils désactivent les outils de sécurité, effacent les journaux et renomment les exécutables des ransomwares pour qu'ils se fondent dans les fichiers légitimes.
Quels sont les outils utilisés par RansomHub pour les déplacements latéraux ?
Des outils tels que Remote Desktop Protocol (RDP), AnyDesk et PsExec sont utilisés pour se déplacer latéralement au sein de réseaux compromis.
Quelles stratégies d'atténuation peuvent aider à prévenir les attaques par RansomHub ?
La mise en œuvre d'une authentification multifactorielle (MFA) résistante à phishing, la correction des vulnérabilités et la segmentation des réseaux sont des stratégies d'atténuation clés.
Quel est l'impact d'une attaque RansomHub ?
Les victimes subissent souvent des temps d'arrêt importants et des pertes de données dues au cryptage et à la suppression des sauvegardes, ce qui entraîne une paralysie opérationnelle et des demandes de rançon élevées.