Nel panorama sempre più complesso della sicurezza informatica, il gruppo RansomHub si è affermato come uno dei principali attori del 2024, colpendo oltre 600 organizzazioni a livello globale. Questa operazione di ransomware-as-a-service sfrutta vulnerabilità ora risolte in Microsoft Active Directory e nel protocollo Netlogon per ottenere l'accesso non autorizzato ai controller di dominio delle vittime.

RansomHub ha preso di mira settori cruciali come sanità, finanza e infrastrutture critiche, consolidando la sua posizione di gruppo ransomware più attivo. Gli analisti di Group-IB hanno evidenziato che il gruppo è emerso a febbraio 2024, acquisendo il codice sorgente del defunto gruppo Knight RaaS dal forum di cybercrime RAMP. Nel giro di cinque mesi, una versione aggiornata del loro locker è stata pubblicizzata sul mercato illecito, con la capacità di criptare i dati a distanza tramite il protocollo SFTP.

Il gruppo ha anche reclutato affiliati da gruppi come LockBit e BlackCat, cercando di trarre vantaggio dalle azioni delle forze dell'ordine contro i suoi rivali. L'attacco analizzato da una compagnia di sicurezza di Singapore ha visto il gruppo tentare senza successo di sfruttare una vulnerabilità critica nei dispositivi PAN-OS di Palo Alto Networks, prima di passare a un attacco brute-force contro il servizio VPN della vittima.

Il successo dell'intrusione è stato facilitato dall'uso di un dizionario arricchito con oltre 5.000 combinazioni di username e password, permettendo agli attaccanti di guadagnare accesso attraverso un account predefinito comunemente usato nelle soluzioni di backup dei dati. Una volta ottenuto l'accesso iniziale, l'attacco ransomware è stato eseguito con cifratura e esfiltrazione dei dati nel giro di 24 ore.

Due note vulnerabilità, CVE-2021-42278 e CVE-2020-1472, sono state utilizzate per prendere il controllo del controller di dominio e facilitare il movimento laterale attraverso la rete. Inoltre, il gruppo ha impiegato strumenti come PCHunter per aggirare le soluzioni di sicurezza endpoint e Filezilla per l'esfiltrazione dei dati.

L'ecosistema del cybercrime appare più vibrante che mai, con gruppi come RansomHub che condividono e riutilizzano strumenti e codici sorgente, creando un mercato sotterraneo robusto e redditizio. Questo fenomeno è ulteriormente complicato dall'aggiunta di modalità di criptazione personalizzabili nei loro arsenali, come osservato nel gruppo Lynx, che offre agli affiliati la possibilità di regolare la velocità e la profondità della criptazione dei file.

Mentre continuano le evoluzioni nel panorama del ransomware, le tattiche si spostano dalla semplice criptazione alla sottrazione e all'estorsione dei dati, con le vittime che sempre più spesso si rifiutano di pagare, portando a un calo dei pagamenti nel 2024. Tuttavia, gruppi come RansomHub e Akira incentivano la condivisione dei dati rubati con ricompense significative, mantenendo queste tattiche redditizie.