RansomHub Ransomware: la cara en evolución de las amenazas cibernéticas
Table of Contents
¿Qué es el ransomware RansomHub?
RansomHub es otra versión de un notorio linaje de ransomware, que evoluciona a partir de sus predecesores, Knight y Cyclops Ransomware. Este cambio de marca significa no sólo un cambio de nombre sino también una actualización de las tácticas y técnicas de los ciberdelincuentes. Knight Ransomware (también conocido como Cyclops 2.0), que surgió inicialmente a principios de 2023, marcó su territorio utilizando tácticas de doble extorsión. Este método implica robar y cifrar datos, presionando así a las víctimas para que paguen el rescate para evitar fugas de datos.
¿Qué hace el ransomware RansomHub?
RansomHub Ransomware opera infiltrándose en los sistemas de las víctimas, cifrando datos valiosos y luego exigiendo un rescate a cambio de claves de descifrado. Su enfoque de doble extorsión no sólo amenaza con mantener los datos bloqueados sino también con revelar públicamente información confidencial si no se paga el rescate. El ransomware es muy versátil y afecta a múltiples plataformas, incluidas Windows, Linux, macOS, ESXi y Android. Esta adaptabilidad lo convierte en una amenaza formidable en diversos entornos digitales.
¿Cómo ataca RansomHub Ransomware?
RansomHub normalmente distribuye sus cargas maliciosas a través de campañas de phishing y phishing. Estas campañas suelen incluir correos electrónicos con archivos adjuntos o enlaces maliciosos que, cuando se abren, permiten que el ransomware se infiltre en el sistema. Una vez dentro, RansomHub explota vulnerabilidades de seguridad conocidas para obtener más acceso e implementa software de escritorio remoto como Atera y Splashtop, lo que facilita la implementación completa del ransomware. Las funcionalidades de comando y control del ransomware incluyen una función de "suspensión", que puede retrasar la ejecución para evitar la detección.
Un extracto de la nota de rescate de RansomHub:
Hello!
[redacted]
Your data is stolen and encrypted.
-If you don't pay the ransom, the data will be published on our TOR darknet sites. Keep in mind that once your data appears on our leak site, it could be bought by your competitors at any second, so don't hesitate for a long time. The sooner you pay the ransom, the sooner your company will be safe.
If you have an external or cloud backup; what happens if you don't agree with us?
- All countries have their own PDPL (Personal Data Protection Law) regulations. In the event that you do not agree with us, information pertaining to your companies and the data of your company's customers will be published on the internet, and the respective country's personal data usage authority will be informed. Moreover, confidential data related to your company will be shared with potential with potential competitors through email and social media. You can be sure that you will incur damages for exceeding the amount we are requesting from you should you decide not to agree with us.
¿Dónde ocurren la mayoría de los ataques de ransomware RansomHub?
RansomHub se ha relacionado con numerosos ataques de alto perfil en todo el mundo, con actividad significativa en sectores como la atención médica y los negocios. Las víctimas recientes incluyen Change Healthcare, Christie's y Frontier Communications, lo que indica un amplio rango de objetivos, desde instituciones médicas hasta casas de subastas y empresas de comunicación. La banda de ransomware detrás de RansomHub ha declarado explícitamente que evitan atacar entidades en la Comunidad de Estados Independientes (CEI), Cuba, Corea del Norte y China, posiblemente debido a consideraciones o alianzas geopolíticas.
¿Cómo evitar amenazas como RansomHub Ransomware?
Prevenir ataques de ransomware como los de RansomHub requiere un enfoque multifacético:
- Concientización y capacitación : eduque a los empleados sobre los peligros del phishing y el Spearphishing. Las sesiones de capacitación periódicas pueden ayudar al personal a reconocer correos electrónicos y archivos adjuntos sospechosos.
- Protocolos de seguridad sólidos : es fundamental implementar medidas sólidas de ciberseguridad, como software antivirus, firewalls y sistemas de detección de intrusos actualizados. Parchar y actualizar el software periódicamente para corregir vulnerabilidades conocidas puede evitar la explotación del ransomware.
- Copia de seguridad de datos : almacene periódicamente datos importantes en entornos seguros y aislados. Esto garantiza que, en caso de un ataque, los datos puedan restaurarse sin pagar el rescate.
- Controles de acceso : limite el acceso de los usuarios a sistemas y datos críticos. La implementación del principio de privilegio mínimo puede minimizar el daño si ocurre un ataque.
- Plan de respuesta a incidentes : desarrolle y mantenga un plan de respuesta a incidentes adaptado a los ataques de ransomware. Este plan debe incluir pasos para la respuesta inmediata, la contención, la erradicación y la recuperación.
- Utilice la autenticación multifactor (MFA) : MFA agrega otra capa de seguridad, lo que dificulta que los atacantes obtengan acceso no autorizado a los sistemas, incluso si logran robar las credenciales de inicio de sesión.
Pensamientos finales
RansomHub Ransomware representa la naturaleza en constante evolución de las amenazas de ransomware, en la que los atacantes perfeccionan constantemente sus métodos para eludir las medidas de seguridad. Al comprender los mecanismos detrás de los ataques de RansomHub e implementar estrategias integrales de ciberseguridad, las organizaciones pueden reducir significativamente el riesgo de ser víctimas de dicho ransomware. Mantenerse informado sobre las últimas amenazas y mantener mecanismos de defensa sólidos es esencial en la lucha contra el ciberdelito.
