El grupo de ransomware RansomHub ha emergido como una de las amenazas más peligrosas en 2024, apuntando a más de 600 organizaciones a nivel global. Su estrategia se basa en la explotación de vulnerabilidades en Microsoft Active Directory y Netlogon, permitiéndoles escalar privilegios y tomar el control del controlador de dominio de sus víctimas.
RansomHub: Un Ecosistema de Cibercrimen en Expansión
Los investigadores de Group-IB han identificado a RansomHub como el grupo de ransomware como servicio (RaaS) más activo del año, con ataques dirigidos a sectores clave:
✅ Salud y hospitales
✅ Finanzas y banca
✅ Gobiernos e infraestructuras críticas
✅ Empresas tecnológicas
Este grupo surgió en febrero de 2024, utilizando el código fuente de Knight RaaS (anteriormente Cyclops) para acelerar sus operaciones. En solo cinco meses, lanzaron una versión mejorada de su ransomware, capaz de cifrar archivos de forma remota a través de SFTP.
Métodos de Ataque de RansomHub
1️⃣ Explotación de Vulnerabilidades Conocidas
RansomHub ha utilizado fallos de seguridad en Active Directory y Netlogon, incluyendo:
🔹 CVE-2021-42278 (NoPac): Permite privilegios elevados en entornos Microsoft.
🔹 CVE-2020-1472 (ZeroLogon): Facilita el control del dominio tras una escalada de privilegios.
Estas técnicas les permiten moverse lateralmente dentro de la red y tomar el control total de los sistemas comprometidos.
2️⃣ Fuerza Bruta contra Servicios VPN
En un ataque reciente analizado por expertos en ciberseguridad, los atacantes intentaron explotar la vulnerabilidad CVE-2024-3400 en dispositivos PAN-OS de Palo Alto Networks. Aunque el intento falló, lograron acceder mediante un ataque de fuerza bruta a una VPN, utilizando una lista de 5,000 combinaciones de usuario y contraseña.
Una vez dentro, los atacantes escalaron privilegios y comenzaron la exfiltración y cifrado de datos en menos de 24 horas.
3️⃣ Reclutamiento de Afiliados de LockBit y BlackCat
RansomHub ha establecido alianzas con ex-miembros de LockBit y BlackCat, incorporándolos a su programa de afiliados. Esto sugiere un intento de aprovechar el vacío dejado por operaciones policiales contra sus competidores.
Uso de Herramientas de Hackeo para Evadir Seguridad
Los ciberdelincuentes de RansomHub emplean diversas herramientas para evadir los sistemas de seguridad empresariales:
🔹 PCHunter: Desactiva soluciones de protección de endpoints.
🔹 FileZilla: Se usa para exfiltrar datos antes del cifrado.
🔹 Técnicas BYOVD (Bring Your Own Vulnerable Driver): Deshabilitan controles de seguridad.
Esto refuerza su capacidad de operar sin ser detectados, asegurando el éxito del ataque y aumentando la presión sobre sus víctimas para pagar el rescate.
El Ransomware Lynx y el Mercado Negro del Cibercrimen
Paralelamente, otro operador de ransomware como servicio (RaaS), conocido como Lynx, ha captado la atención de los investigadores.
Lynx se distingue por:
🔹 Un sistema de afiliados competitivo, ofreciendo 80% del rescate a los operadores.
🔹 Múltiples modos de cifrado: «rápido», «medio», «lento» y «completo».
🔹 Estrategia agresiva de reclutamiento, con estrictas verificaciones para hackers expertos.
Además, Lynx ha implementado «centros de llamadas» para presionar a las víctimas a pagar el rescate, un método previamente utilizado por grupos como Conti y REvil.
Nuevas Tácticas de Infección: Phorpiex y VPNs Sin Parches
Los ataques recientes han mostrado una nueva tendencia en la distribución de ransomware. Según Cybereason, se ha observado el uso de la botnet Phorpiex (Trik) para entregar ransomware LockBit a través de correos de phishing.
Otros grupos han recurrido a la explotación de VPNs desactualizadas (CVE-2021-20038) para acceder a redes internas y desplegar el ransomware Abyss Locker.
Persistencia y Movimientos Lateralizados en la Red
Para mantener el control sobre sus objetivos, los atacantes utilizan técnicas avanzadas como:
🔹 Herramientas de tunelización: Permiten comunicación encubierta entre dispositivos comprometidos.
🔹 Ataques dirigidos a NAS, ESXi y sistemas de almacenamiento: Aseguran que los datos sean inaccesibles sin pagar el rescate.
Tendencias en Ransomware: De la Encriptación al Robo de Datos
En 2024, se ha observado una disminución en el pago de rescates, lo que ha llevado a los ciberdelincuentes a modificar sus tácticas.
🔹 RansomHub y Akira ahora priorizan el robo de datos, incentivando a los afiliados con bonificaciones por información valiosa.
🔹 Extorsión sin cifrado: Algunas bandas simplemente roban datos y amenazan con publicarlos si no reciben el pago.
Cómo Protegerse de RansomHub y Otras Amenazas de Ransomware
Las organizaciones deben adoptar una estrategia proactiva para minimizar los riesgos de ataque. Algunas medidas clave incluyen:
✅ Actualizar Active Directory y Netlogon para evitar vulnerabilidades explotadas por RansomHub.
✅ Implementar autenticación multifactor (MFA) en todas las cuentas con acceso remoto.
✅ Proteger los servidores VPN con configuraciones seguras y detección de accesos sospechosos.
✅ Restringir privilegios de administrador, limitando el daño en caso de compromiso.
✅ Monitorear actividad inusual en la red con herramientas de detección de amenazas.
RansomHub y la Evolución del Cibercrimen
El ecosistema del ransomware sigue evolucionando con grupos como RansomHub, Lynx y Akira, que perfeccionan sus estrategias de ataque y monetización.
Las organizaciones deben adoptar un enfoque integral de ciberseguridad, priorizando la prevención, detección y respuesta rápida para minimizar los daños de estas amenazas.
Fuente: The Hacker News
