Varias agencias de ciberseguridad de EE.UU. han publicado un aviso para advertir de que el grupo de ransomware RansomHub ha sido el responsable desde el pasado mes de febrero de más de 210 incidentes a organizaciones.
El comunicado ha partido de la la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y el Departamento de Salud y Servicios Humanos (HHS).
Ambas señalan que la banda se ha centrado en las víctimas de varios sectores, incluyendo el agua, las TIC, la atención médica, los servicios de emergencia, la agricultura, los servicios financieros, la manufactura, el transporte, las comunicaciones y el gobierno.
Casualidad o no, la aparición de RansomHub coincidió con el desmantelamiento de dos de los grupos más prolíficos que operan en este momento: AlphV (BlackCat) y Lockbit. Parece ser que RansomHub está fichando a afiliados de alto perfil provenientes de ambas bandas.
Casi un tercio de los habitantes de EE.UU. se vieron afectados por un ataque a United Health Group, llevado a cabo por afiliados a Alphv. Al disolverse por la acción de las fuerzas del orden los piratas informáticos recurrieron a RansomHub, quien había puesto los datos a la venta.
Además, desde que este incidente ocurrió el grupo ha tomado un papel destacado en el ecosistema de ransomware, atribuyéndose el mérito de ataques de alto perfil, como el del gigante de las telecomunicaciones Frontier Communications, la casa de subastas británica Christie´s y una de las cooperativas de ahorro y crétido más grandes de EE.UU.
El aviso también señala que RansomHub es un descendiente de operaciones de ransomware anteriores denominadas Cyclops and Knight.
Cómo opera el grupo
Las agencias han hallado que los afiliados del grupo cifran los sistemas y exfiltran datos antes de intentar extorsionar a las víctimas. No acostumbran a pedirles ningún rescate, pero sí ofrecen un enlace para comunicarse con los piratas informáticos.
Dependiendo de las víctimas, estas cuentan con un período de 'gracia' de entre 3 y 90 días para asumir el pago del rescate antes de que los datos se hagan de dominio público.
El comunicado indica que RansomHub ha explotado errores en productos de de Citrix, Fortinet, Apache, BIG-IP, Microsoft y Atlassian. Además, se les ha visto usando el software de acceso remoto de Anydesk.