RansomHub

El operador de ransomware conocido como Ransomhub surgió en febrero de 2024 y actualmente es una de los grupos criminales organizados (OCGs) más relevantes de todo el horizonte de amenazas. Este grupo es conocido por administrar una plataforma de servicios de ransomware en la modalidad de Ransomware como servicio (Ransomware-as-a-Service – RaaS) y llevar a cabo ataques de doble extorsión.

El grupo proporciona el software, la infraestructura y el soporte necesario para llevar a cabo ataques efectivos contra una amplia gama de objetivos, habiendo realizado más de 200 ataques en más de 45 países, de acuerdo al análisis realizado hasta septiembre de 2024. Se cree que el ransomware, que recibe el mismo nombre que el grupo, es una versión actualizada de “Knight ransomware”, aunque no hay pruebas de que el operador sea el mismo ya que el código de este ransomware se ofreció a la venta a principios de 2024.

Los afiliados de este grupo reciben el pago de los rescates directamente sin pasar por caja previamente y pagan solo un 10% a RansomHub. Esta forma de operar es distinta a las observadas en otros grupos y surge como respuesta al “exit-scam” que llevó a cabo BlackCat/ALPHV en marzo de 2024. De esta manera, el grupo se presenta de una manera más cercana a los posibles afiliados, garantizando que recibirán su dinero en primer lugar y no tendrán que depender de la matriz para cobrarlo.

Durante agosto de 2024, se descubrió una nueva herramienta llamada EDRKillShifter, diseñada para deshabilitar los EDRs (Endpoint Detection and Response). La técnica utilizada en este ataque se conoce como “Bring Your Own Vulnerable Driver” (BYOVD). Los investigadores observaron que RansomHub utilizaba múltiples variantes de esta herramienta, capaz de cargar diferentes controladores en función de las necesidades del ataque.

En septiembre de 2024 se hizo público el uso de la herramienta TDSSKiller de Kaspersky para desactivar los sistemas de detección y respuesta de endpoints (EDR), lo que facilita el despliegue de malware de robo de credenciales como LaZagne. Esta herramienta fue originalmente diseñada para la eliminación de rootkits, operando a nivel del kernel: es decir, permite al adversario desactivar las medidas de seguridad sin ser detectado.

En cuanto a los ataques y la economía del grupo, RansomHub ha conseguido comprometer entidades de alto perfil como Frontier Communications, Rite Aid, el gigante energético Halliburton o la casa de subastas Christie’s. Esto se debe al hecho de que su modelo de negocio ha atraído a afiliados sofisticados que forman parte del “Big Game Hunting”. El dinero que ha conseguido el grupo no es público ya que por lo general las empresas no declaran el dinero que pagan por el rescate de datos.