RansomHub Ransomware Group richt zich op 210 slachtoffers in kritieke sectoren

Volgens de Amerikaanse overheid hebben cybercriminelen die banden hebben met de ransomwaregroep RansomHub sinds de oprichting in februari 2024 de gegevens van minstens 210 slachtoffers versleuteld en geëxfiltreerd.

De slachtoffers komen uit verschillende sectoren, waaronder water en afvalwater, informatietechnologie, overheidsdiensten en -faciliteiten, gezondheidszorg en volksgezondheid, hulpdiensten, voedsel en landbouw, financiële dienstverlening, commerciële faciliteiten, kritieke productie-, transport- en communicatie-infrastructuur.

“RansomHub is een ransomware-as-a-service-variant, voorheen bekend als Cyclops en Knight, die zichzelf heeft gevestigd als een efficiënt en succesvol servicemodel (en onlangs bekende partners van andere prominente varianten zoals LockBit en ALPHV heeft aangetrokken)”, aldus overheidsinstanties.

Een ransomware-as-a-service (RaaS)-variant die afstamt van Cyclops en Knight. De e-crime-operatie heeft bekende partners aangetrokken van andere prominente varianten, zoals LockBit en ALPHV (ook bekend als BlackCat), na een recente golf van rechtshandhavingsacties.

ZeroFox meldde in een eind vorige maand gepubliceerde analyse dat de activiteit van RansomHub als percentage van alle ransomware-activiteiten die door de cybersecurityleverancier zijn waargenomen, een opwaartse trend vertoont. Het was goed voor ongeveer 2% van alle aanvallen in het eerste kwartaal van 2024, 5,1% in het tweede kwartaal en tot nu toe 14,2% in het derde kwartaal.

“Ongeveer 34% van de RansomHub-aanvallen was gericht op organisaties in Europa, vergeleken met 25% voor alle andere bedreigingen”, aldus het bedrijf.

Het is bekend dat de groep het dubbele afpersingsmodel gebruikt om gegevens te exfiltreren en systemen te versleutelen om slachtoffers af te persen, die worden aangespoord om contact op te nemen met de operators via een unieke .onion URL. De informatie van bedrijven die weigeren om in te stemmen met de losgeldeis, wordt gedurende drie tot negentig dagen gepubliceerd op de site met het datalek.

De eerste toegang tot de omgevingen van slachtoffers wordt mogelijk gemaakt door misbruik te maken van bekende beveiligingsproblemen in onder andere Apache ActiveMQ (CVE-2023-46604), Atlassian Confluence Data Center and Server (CVE-2023-22515), Citrix ADC (CVE-2023-3519), F5 BIG-IP (CVE-2023-46747), Fortinet FortiOS (CVE-2023-27997) en Fortinet FortiClientEMS (CVE-2023-48788).

Deze stap wordt gevolgd door affiliates die verkenning en netwerkscans uitvoeren met behulp van programma’s als AngryIPScanner, Nmap en andere living-off-the-land (LotL) methoden. RansomHub-aanvallen omvatten verder het ontwapenen van antivirussoftware met behulp van aangepaste tools om onder de radar te vliegen.

“Na de eerste toegang hebben RansomHub-partners gebruikersaccounts aangemaakt voor persistentie, uitgeschakelde accounts opnieuw ingeschakeld en Mimikatz op Windows-systemen gebruikt om inloggegevens te verzamelen (T1003) en privileges te verhogen naar SYSTEM”, aldus het advies van de Amerikaanse overheid.

“Affiliates verplaatsten zich vervolgens lateraal binnen het netwerk via methoden zoals Remote Desktop Protocol (RDP), PsExec, AnyDesk, Connectwise, N-Able, Cobalt Strike, Metasploit en andere veelgebruikte command-and-control (C2) methoden.”

Een ander opvallend aspect van RansomHub-aanvallen is het gebruik van intermitterende encryptie om het proces te versnellen. Gegevensdiefstal is waargenomen via hulpmiddelen zoals PuTTY, Amazon AWS S3-buckets, HTTP POST-verzoeken, WinSCP, Rclone, Cobalt Strike, Metasploit en andere methoden.

De ontwikkeling komt nu Palo Alto Networks Unit 42 de tactieken uitpakt die verband houden met de ShinyHunters-ransomware, die het volgt als Bling Libra, en benadrukt de verschuiving naar het afpersen van slachtoffers in plaats van hun traditionele tactiek van het verkopen of publiceren van gestolen gegevens. De dreigingsactor kwam voor het eerst aan het licht in 2020.

“De groep verkrijgt legitieme inloggegevens, afkomstig uit openbare opslagplaatsen, om als eerste toegang te krijgen tot de Amazon Web Services (AWS)-omgeving van een organisatie”, aldus beveiligingsonderzoekers Margaret Zimmermann en Chandni Vaya.

“Hoewel de machtigingen die aan de gecompromitteerde inloggegevens waren gekoppeld de impact van de inbreuk beperkten, infiltreerde Bling Libra de AWS-omgeving van de organisatie en voerde verkenningsoperaties uit. De groep van dreigingsactoren gebruikte tools zoals de Amazon Simple Storage Service (S3) Browser en WinSCP om informatie te verzamelen over S3-bucketconfiguraties, toegang te krijgen tot S3-objecten en gegevens te verwijderen.”

Het volgt ook op een belangrijke evolutie in ransomware-aanvallen, die verder gaan dan het versleutelen van bestanden en die complexe, veelzijdige afpersingsstrategieën toepassen. Volgens SOCRadar wordt zelfs gebruikgemaakt van drievoudige en viervoudige afpersingstechnieken.

“Drievoudige afpersing legt de lat nog hoger en dreigt met nog meer manieren van verstoring dan alleen encryptie en exfiltratie”, aldus het bedrijf.

“Dit kan betekenen dat er een DDoS-aanval wordt uitgevoerd op de systemen van het slachtoffer of dat er directe bedreigingen worden gericht op de klanten, leveranciers of andere medewerkers van het slachtoffer om zo nog meer operationele en reputatieschade toe te brengen aan degenen die uiteindelijk het doelwit zijn van de afpersing.”

Bij viervoudige afpersing worden de inzet verhoogd. Hierbij worden derden die een zakelijke relatie met de slachtoffers hebben, benaderd en worden zij afgeperst. Ook kunnen slachtoffers worden bedreigd met het vrijgeven van gegevens van derden om zo nog meer druk op het slachtoffer uit te oefenen en hem/haar te laten betalen.

De lucratieve aard van RaaS-modellen heeft geleid tot een toename van nieuwe ransomware-varianten zoals Allarich, Cronus, CyberVolk, Datablack, DeathGrip, Hawk Eye en Insom. Het heeft er ook toe geleid dat Iraanse actoren van de natiestaat zijn gaan samenwerken met bekende groepen zoals NoEscape, RansomHouse en BlackCat in ruil voor een deel van de illegale opbrengsten.

Thijs Van der Does