Aumenta la actividad del Grupo RansomHub en latinoamerica
En el cambiante panorama de la ciberdelincuencia, ciertos grupos surgen como amenazas importantes para la seguridad global. Una de esas entidades, Ransomhub, ha ido escalando posiciones hasta convertirse en un actor destacado en el ámbito de los ataques de ransomware. Este enigmático grupo, que opera en las sombras del mundo digital, ha demostrado un nivel sofisticado de experiencia técnica y una búsqueda incesante de ganancias económicas.
Las actividades de Ransomhub se han extendido mucho más allá de los límites de una sola nación, y se han dirigido a organizaciones de todos los tamaños y sectores. Su modus operandi a menudo implica infiltrarse en redes, cifrar datos confidenciales y exigir rescates cuantiosos a cambio de claves de descifrado. El impacto del grupo se ha sentido en todo el mundo, interrumpiendo servicios críticos, causando pérdidas financieras significativas y comprometiendo información confidencial.
El grupo RansomHub realizó últimamente varios ataques a organizaciones de Latinoamérica, incluido también empresas importantes y críticas en México.
RansomHub, al igual que otros grupos RaaS (Ransomware-as-a-Service) es conocido por su modelo de afiliados y su estrategia de doble extorsión: además de cifrar los archivos y exigir un rescate por ellos, también amenaza con publicar los archivos filtrados en su portal público (“Hall of Shame” – Muro de la vergüenza), de manera a aumentar las probabilidades que la víctima acceda al pago.
Cadena de ataque de Ransomhub
Vector de acceso inicial
Los afiliados de RansomHub suelen comprometer sistemas expuestos a Internet y puntos finales de usuarios utilizando diversas técnicas. Entre los métodos más comunes se encuentran:
- Correos Electrónicos de Phishing: Utilizan correos electrónicos de phishing masivos y dirigidos para obtener acceso inicial a los sistemas.
- Explotación de Vulnerabilidades Públicas: Se aprovechan de vulnerabilidades conocidas en aplicaciones expuestas al público para ingresar a redes.
- Robo de Credenciales: Ejecutan un ataque de Password Spraying, que busca comprometer cuentas de servicios expuestos debido a filtraciones de datos anteriores.
A continuación se listan los exploit comumente explotados por este grupo:
Descubrimiento
Los afiliados de RansomHub realizan escaneos de red utilizando herramientas como AngryIPScanner, Nmap y métodos basados en PowerShell, aprovechando PowerShell para llevar a cabo el escaneo de la red.
Evasión de defensas
Investigadores de ciberseguridad han observado que los afiliados renombraron el ejecutable del ransomware con nombres de archivos inocuos, como “Windows.exe”, dejándolo en el escritorio del usuario (C:\Users%USERNAME%\Desktop) o en las descargas (C:\Users%USERNAME%\Downloads). Además, hay reporte que los atacante eliminaron los registros del sistema en Windows y Linux para inhibir cualquier respuesta potencial a incidentes. Utilizaron Windows Management Instrumentation para desactivar productos antivirus.
El grupo RansomHub también se caracteriza por utilizar técnicas para desactivar o terminar la detección y respuesta de endpoints (EDR) para evadir la detección y prolongar su presencia dentro de sistemas o redes comprometidos. Para dicha evasión han incorporado la herramienta EDRKillShifter dentro de su cadena de ataque.
EDRKillShifter está diseñado para explotar controladores vulnerables, desactivando la eficacia de las soluciones EDR mediante el empleo de técnicas para evadir la detección e interrumpir los procesos de monitorización de seguridad. Además, EDRKillShifter mejora los mecanismos de persistencia mediante el empleo de técnicas que garantizan su presencia continua dentro del sistema, incluso después de que se descubran y limpien los ataques iniciales. Interrumpe dinámicamente los procesos de seguridad en tiempo real y adapta sus métodos a medida que evolucionan las capacidades de detección, manteniéndose un paso por delante de las herramientas EDR tradicionales. EDRKillShifter se integra perfectamente en toda la cadena de ataque, lo que garantiza que todas las fases de un ataque se beneficien de sus funcionalidades de desactivación de EDR, lo que aumenta la eficacia general. Estos avances convierten a EDRKillShifter en una herramienta muy efectiva contra las soluciones de seguridad de endpoints convencionales, lo que requiere la adopción de medidas de seguridad más sólidas y adaptables por parte de las organizaciones.
Escalación de privilegios y movimiento lateral
Después del acceso inicial, los afiliados crean cuentas de usuario para mantener la persistencia, reactivan cuentas deshabilitadasy utilizan Mimikatz en sistemas Windows para recopilar credenciales y escalar privilegios a SYSTEM. Luego, se mueven lateralmente dentro de la red utilizando métodos como Remote Desktop Protocol (RDP), PsExec, Anydesk, Connectwise, N-Able, Cobalt Strike, Metasploit y otros métodos de comando y control (C2) ampliamente utilizados.
Exfiltración de datos
Los métodos de exfiltración de datos dependen en gran medida del afiliado que conduzca la compromisión de la red. El binario del ransomware generalmente no incluye ningún mecanismo para la exfiltración de datos. Se ha observado que la exfiltración de datos se lleva a cabo mediante el uso de herramientas como PuTTY,Amazon AWS S3, solicitudes HTTP POST, WinSCP, Rclone, Cobalt Strike, Metasploit entre otros métodos.
Cifrado
La banda se caracteriza por utilizar el algoritmo Curve 25519, el cual utiliza una clave pública/privada que es única para cada organización víctima. Antes de encriptar, el binario detiene los siguientes procesos:
- “vmms.exe”
- “msaccess.exe”
- “mspub.exe”
- “svchost.exe”
- “vmcompute.exe”
- “notepad.exe”
- “ocautoupds.exe”
- “ocomm.exe”
- “ocssd.exe”
- “oracle.exe”
- “onenote.exe”
- “outlook.exe”
- “powerpnt.exe”
- “explorer.exe”
- “sql.exe”
- “steam.exe”
- “synctime.exe”
- “vmwp.exe”
- “thebat.exe”
- “thunderbird.exe”
- “visio.exe”
- “winword.exe”
- “wordpad.exe”
- “xfssvccon.exe”
- “TeamViewer.exe”
- “agntsvc.exe”
- “dbsnmp.exe”
- “dbeng50.exe”
- “encsvc.exe”
El ejecutable del crypto-ransomware generalmente no encripta archivos ejecutables. Se añade una extensión de archivo aleatoria a los nombres de archivo y se deja una nota de rescate, generalmente titulada “How To Restore Your Files.txt”, en el sistema comprometido. Para inhibir aún más la recuperación del sistema, el ejecutable del ransomware típicamente utiliza el programa vssadmin.exe para eliminar las copias de sombra de volumen.
Otras herramientas utilizadas por RansomHub
A continuación se presenta una tabla con herramientas, algunas pueden ser herramientas legitimas y otras con proposito maliciosos, que usualmente han sido documentadas como parte de las técnicas, tácticas y procedimientos del grupo RansomHub:
IOC – Indicator of Compromise
Algunos indicadores de compromisos que fueron reportados de haber sido dejados por Ransomhub
Directorios
- C:\Users\%USERNAME%\AppData\Local\Programs\Python\Python311\Scripts\crackmapexec.exe (CrackMapExec)
- C:\Users\%USERNAME%\AppData\Local\Programs\Python\Python311\Scripts\kerbrute.exe (Kerberoastin)
- C:\Users\%USERNAME%\Downloads\Anydesk.exe
- C:\Users\%USERNAME%\Desktop\IamBatMan.exe (Ransomware)
- C:\Users\backupexec\Desktop\stealer_cli_v2.exe (Info Stealer)
- C:\Users\%USERNAME%\Downloads\nmap-7.94-setup.exe
- C:\Program Files (x86)\Nmap\nmap.exe
- C:\Users\%USERNAME%\Downloads\mimikatz_trunk\x64\mimikatz.exe
- C:\Users\backupexec\Downloads\x64\mimikatz.exe
IP maliciosas
- 8.211.2[.]97
- 45.95.67[.]41
- 45.134.140[.]69
- 45.135.232[.]2
- 89.23.96[.]203
- 188.34.188[.]7
- 193.106.175[.]107
- 193.124.125[.]78
- 193.233.254[.]21
Dominios
- samuelelena[.]co
- 40031[.]co
- 12301230[.]co
- i.ibb[.]co
- temp[.]sh
-
grabify[.]link
Guía de remediación de CISA
https://www.cisa.gov/resources-tools/resources/stopransomware-guide
Referencias
- https://www.trendmicro.com/en_us/research/24/i/how-ransomhub-ransomware-uses-edrkillshifter-to-disable-edr-and-.html
- https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-242a
- https://news.sophos.com/en-us/2024/08/14/edr-kill-shifter/
Está bajo un ataque de ransomware?
Si cree ser victima de esta banda, RansomHub, o de algún otro ataque de ransomware no dude en contactarnos.
- info@beaconlab.mx
- info@cybolt.com