RansomHub, un ransomware-as-a-service (RaaS) qui a « fait son apparition » plus tôt cette année, a déjà fait au moins 210 victimes (à notre connaissance).
Ses filiales ont touché les services gouvernementaux, les entreprises informatiques et de communication, les établissements de santé, les organisations financières, les services d’urgence, les entreprises de fabrication et de transport et les installations commerciales.
Et, selon un avis rédigé par le FBI, la CISA, le ministère de la Santé et des Services sociaux et le Centre multi-États de partage et d’analyse d’informations, les tactiques et techniques des affiliés sont aussi diverses que leurs victimes.
Tactiques, techniques et outils utilisés par les affiliés de RansomHub
L’accès initial est obtenu via des e-mails de phishing, la pulvérisation de mots de passe et l’exploitation de vulnérabilités connues dans les systèmes accessibles sur Internet (Citrix NetScaler, Fortigate, Atlassian Confluence, etc.)
Les affiliés sont :
- Utilisation d’une variété d’outils d’analyse de réseau pour la reconnaissance
- Déployer des exécutables de ransomware qui ont été renommés pour paraître inoffensifs
- Suppression des journaux et désactivation des produits AV et EDR
- Création ou réactivation de comptes d’utilisateurs, en utilisant Mimikatz pour collecter les informations d’identification
- Déplacement latéral en tirant parti de RDP, PsExec, Cobalt Strike et d’un certain nombre d’outils d’accès à distance légitimes (AnyDesk, Connectwise)
- Exfiltration de données via PuTTY, les compartiments/outils Amazon AWS S3, les requêtes HTTP POST, WinSCP, Rclone, Cobalt Strike, Metasploit et d’autres méthodes
« L’exécutable du ransomware ne chiffre généralement pas les fichiers exécutables. Une extension de fichier aléatoire est ajoutée aux noms de fichiers et une demande de rançon généralement intitulée Comment restaurer vos fichiers.txt est laissée sur le système compromis », indique l’avis.
« La note fournit aux victimes un identifiant client et leur demande de contacter le groupe de ransomware via un identifiant unique. .oignon URL (accessible via le navigateur Tor). La demande de rançon donne généralement aux victimes entre trois et 90 jours pour payer la rançon (selon l’affilié) avant que le groupe de ransomware ne publie ses données sur le site de fuite de données RansomHub Tor.
Le succès de RansomHub est dû à des affiliés compétents
La diversité des tactiques et techniques employées par les affiliés de RansomHub signifie que les défenseurs doivent recourir à une grande variété de mesures d’atténuation, qui ont été décrites dans l’avis de la CISA.
« RansomHub est une variante de ransomware-as-a-service, anciennement connue sous le nom de Cyclops et Knight, qui s’est imposée comme un modèle de service efficace et réussi », ont noté les agences.
Le succès de l’opération RansomHub est dû à sa capacité à attirer d’anciens affiliés qualifiés de LockBit et ALPHV/BlackCat à la suite de retraits des forces de l’ordre, de retours ratés et d’une arnaque à la sortie.
Les opérateurs de RansomHub ont incité les affiliés potentiels à rejoindre leurs opérations en leur promettant qu’ils n’auraient pas à y être exclusivement liés et en leur permettant de percevoir des rançons (et seulement ensuite de payer les « frais de service »).