RansomHouse

El operador de ransomware conocido como RansomHouse fue observado por primera vez en diciembre de 2021, operando bajo el modelo de Ransomware como Servicio (RaaS – Ransomware-as-a-Service). El grupo no es tan activo en volumen de ataques como otras OCGs como Ransomhub o BlackCat/ALPHV, pero su impacto en diversos sectores es considerable, habiendo sido capaz de comprometer organizaciones de diverso tamaño por todo el mundo.

En sus inicios, diversos medios y vendedores indicaron que el actor no desplegaba ransomware en los equipos infectados, llevando a cabo una única extorsión: la publicación de la información exfiltrada. En la actualidad sí que se ha confirmado que despliega ransomware para llevar a cabo doble extorsión, cifrado de sistemas infectados + exfiltración de información, es decir, interrupción de la disponibilidad de los sistemas y publicación de información sensible.

RansomHouse no ha expresado una preferencia en cuanto a sectores elegidos como objetivos, probablemente actuando de forma oportunista cuando se le presenta la ocasión. Ha impactado infraestructura crítica sin hacer distinción alguna y sin ningún código ético, una práctica común entre muchos operadores de ransomware.

Este grupo, si bien ya había atacado instituciones de diversos sectores por todo el mundo, se hizo mediático en España cuando atacó el Hospital Clínico de Barcelona (Hospital Clínic Barcelona).

• Hospital Clínico de Barcelona: El grupo atacó el hospital en marzo de 2023 y consiguió desplegar ransomware en sus sistemas. Este incidente interrumpió parte de los servicios que ofrece el hospital lo que obligó a derivar pacientes o interrumpir parte de estos servicios. El grupo anunció que había exfiltrado algo más de 4 TB de datos y pidió 4.5 millones de euros como rescate. Si bien no se informó de cómo el grupo consiguió el acceso inicial, investigadores independientes encontraron expuestas cuentas comprometidas del hospital, probablemente con acceso a la intranet. También se especuló con la explotación de una vulnerabilidad en Drupal, una tecnología que el hospital tenía instalada en sus sistemas, aunque siempre es probable que consiguieran acceder mediante la interacción de un empleado con un phishing. La institución indicó que no negociaría con el grupo criminal, lo que derivó en la publicación de sucesivas muestras de los datos para poner más presión sobre la institución. Este proceso se extendió durante unos meses, en un determinado momento, los Mossos d’Esquadra – probablemente con la ayuda del CCN-CERT o una institución similar – consiguieron interrumpir momentáneamente la web de RansomHouse.
• Finalmente, como respuesta al fracaso de las negociaciones, la información fue publicada en la web del grupo. RansomHouse desarrolló la herramienta “MrAgent”, con el propósito de automatizar los ataques a servidores VMWare ESXi. Esta herramienta les permitió aumentar su alcance, pudiendo desplegar ransomware en múltiples sistemas simultáneamente. Esta campaña destacó por su uso del código fuente filtrado de Babuk para la encriptación de los hypervisors de VMware. La razón para apuntar contra estos servidores se debe a que esta tecnología de virtualización se usa empresarialmente para maximizar el rendimiento de estos servidores y es comúnmente usada en aquellos que almacenan información potencialmente valiosa para estos grupos.

Si bien RansomHouse ha realizado multitud de ataques contra diversos sectores por todo el mundo – el país más impactado actualmente es Estados Unidos y el sector Salud el que más intrusiones ha sufrido – el incidente del Hospital Clínico de Barcelona ilustra de buena manera como actúa del grupo. En la actualidad RansomHouse sigue activo, aunque continua con un ritmo de publicación de víctimas relativamente bajo comparado con otros operadores de ransomware.