Déjà 210 victimes pour le groupe de ransomware RansomHub lancé en février 2024 !
Depuis sa création en février 2024, le groupe de ransomware RansomHub a déjà chiffré et exfiltré les données d'au moins 210 victimes, d'après le gouvernement américain. Voici ce qu'il faut retenir de ce nouveau rapport.
210 victimes en quelques mois, c'est beaucoup et cela prouve à quel point le groupe de ransomware RansomHub et ses affiliés sont actifs. Ceci est d'autant plus vrai que la tendance serait à la hausse, avec 34% des cibles situées en Europe.
"RansomHub est une variante de ransomware-as-a-service - anciennement connue sous les noms de Cyclops et Knight - qui s'est imposée comme un modèle de service efficace et performant (attirant récemment des affiliés de haut niveau d'autres variantes importantes telles que LockBit et ALPHV).", peut-on lire dans le rapport publié par l'agence CISA et ses partenaires.
Le groupe RansomHub applique le principe de la double extorsion, c'est-à-dire que les données sont chiffrées et exfiltrées, dans le but d'être publiées si la victime ne paie pas la rançon demandée par les pirates. À ce sujet, il est précisé : "La note de rançon donne généralement aux victimes entre trois et 90 jours pour payer la rançon (en fonction de l'affilié) avant que le groupe de ransomware ne publie leurs données sur le site de fuite de données RansomHub sur Tor."
Toujours d'après ce rapport, les secteurs visés sont nombreux et très différents. Sont notamment cités les services financiers, les industries critiques, les organisations dans le domaine de l'IT, les services de soins de santé et de la santé publique, ainsi que les infrastructures critiques de communication.
Quelles sont les vulnérabilités exploitées ?
L'accès initial aux environnements des victimes est effectué par l'exploitation de failles de sécurité connues et déjà corrigées.
Les cybercriminels du gang RansomHub et leurs affiliés exploitent notamment les vulnérabilités suivantes : Apache ActiveMQ (CVE-2023-46604), Atlassian Confluence Data Center et Server (CVE-2023-22515), Citrix ADC (CVE-2023-3519), F5 BIG-IP (CVE-2023-46747), Fortinet FortiOS (CVE-2023-27997), et Fortinet FortiClientEMS (CVE-2023-48788). Une vulnérabilité présente dans SMB v1 et associée à la référence CVE-2017-0144 est aussi évoquée. Par ailleurs, les cybercriminels peuvent acheter directement des identifiants valides afin de pouvoir se connecter sur des infrastructures existantes.
Ensuite, les affiliés de RansomHub effectuent la découverte du réseau à l'aide de plusieurs outils dont AngryIPScanner, Nmap et des méthodes basées sur PowerShell. Les mouvements latéraux sont aussi effectués avec des outils populaires puisque nous pouvons citer les accès RDP, Connectwise, AnyDesk ou encore Metasploit.
"Après l'accès initial, les affiliés de RansomHub ont créé des comptes d'utilisateurs pour la persistance, réactivé les comptes désactivés et utilisé Mimikatz sur les systèmes Windows pour recueillir des informations d'identification et escalader les privilèges jusqu'à SYSTEM.", peut-on lire dans le rapport.
Le modèle de Ransomware-as-a-service est lucratif et le groupe RansomHub semble faire énormément de dégâts au niveau mondial. Patchez vos applications, vos systèmes et vos services.