Afectó a más de 600 organizaciones de todo el mundo
Se ha observado que los actores de amenazas detrás del esquema ransomware como servicio (RaaS), RansomHub, aprovechan fallas de seguridad ahora parcheadas en Microsoft Active Directory y el protocolo Netlogon para escalar privilegios y obtener acceso no autorizado al controlador de dominio de la red víctima como parte de su estrategia posterior al compromiso.
"RansomHub ha atacado a más de 600 organizaciones en todo el mundo, que abarcan sectores como la atención médica, las finanzas, el gobierno y la infraestructura crítica, lo que lo establece firmemente como el grupo de ransomware más activo en 2024", dijeron los analistas de Group-IB en un exhaustivo informe publicado esta semana.
El grupo de ransomware surgió por primera vez en febrero de 2024, adquiriendo el código fuente asociado con la ahora desaparecida banda Knight (anteriormente Cyclops) RaaS del foro de ciberdelitos RAMP para acelerar sus operaciones. Aproximadamente cinco meses después, se anunció en el mercado ilícito una versión actualizada del locker con capacidades para cifrar datos de forma remota a través del protocolo SFTP.
Viene en múltiples variantes que son capaces de cifrar archivos en servidores Windows, VMware ESXi y SFTP. También se ha observado que RansomHub recluta activamente afiliados de los grupos LockBit y BlackCat como parte de un programa de asociación, lo que indica un intento de capitalizar las acciones de aplicación de la ley dirigidas a sus rivales.
En el incidente analizado por la empresa de ciberseguridad de Singapur, el actor de amenazas habría intentado sin éxito explotar una falla crítica que afecta a los dispositivos PAN-OS de Palo Alto Networks (CVE-2024-3400) utilizando una prueba de concepto (PoC) disponible públicamente, antes de finalmente violar la red víctima mediante un ataque de fuerza bruta contra el servicio VPN.
"Este intento de fuerza bruta se basó en un diccionario enriquecido con más de 5.000 nombres de usuario y contraseñas", dijeron los investigadores. "El atacante finalmente obtuvo acceso a través de una cuenta predeterminada que se usa con frecuencia en soluciones de copia de seguridad de datos y finalmente se vulneró el perímetro".
Luego se abusó del acceso inicial para llevar a cabo el ataque de ransomware, y tanto el cifrado como la exfiltración de datos ocurrieron dentro de las 24 horas posteriores al ataque.
En particular, se trató de utilizar como arma dos fallas de seguridad conocidas en Active Directory (CVE-2021-42278, también conocida como noPac) y el protocolo Netlogon (CVE-2020-1472, también conocida como ZeroLogon) para tomar el control del controlador de dominio y realizar movimientos laterales a través de la red.
"La explotación de las vulnerabilidades mencionadas anteriormente permitió al atacante obtener acceso privilegiado completo al controlador de dominio, que es el centro neurálgico de una infraestructura basada en Microsoft Windows", dijeron los investigadores.
"Una vez finalizadas las operaciones de exfiltración, el atacante preparó el entorno para la fase final del ataque. El atacante intentó hacer que todos los datos de la empresa, guardados en varios NAS, fueran completamente ilegibles e inaccesibles, así como imposibles de restaurar, con el objetivo de obligar a la víctima a pagar el rescate para recuperar sus datos".
Otro aspecto notable del ataque es el uso de PCHunter para detener y eludir las soluciones de seguridad de puntos finales, así como Filezilla para la exfiltración de datos.
"Los orígenes del grupo RansomHub, sus operaciones ofensivas y sus características superpuestas con otros grupos confirman la existencia de un vívido ecosistema de ciberdelito", dijeron los investigadores.
"Este entorno prospera gracias al intercambio, la reutilización y el cambio de marca de herramientas y códigos fuente, lo que alimenta un sólido mercado clandestino en el que víctimas de alto perfil, grupos infames y sumas sustanciales de dinero desempeñan papeles centrales".
