fbpx

¿Tiene un incidente activo? Contacte DFIR

SISAP

ES EN

¿Tiene un incidente activo? CONTACTE  DFIR

 ES EN

SISAP

RansomHub una ciber amenaza en Centroamérica

por | May 7, 2024 | CIBER ATAQUES, DATOS RELEVANTES | 0 Comentarios

ransomhub

RansomHub una amenaza en Centroamérica.

RansomHub es una operación de Ransomware as a Service con tan solo 3 meses de haber surgido en el mundo cibercriminal. En febrero 2024, la banda de ransomware publicó su primera víctima en su sitio de extorsión, YKP una empresa brasileña de consultoría y Gestión Empresarial.

La banda ha listado al menos 20 organizaciones víctimas de sus ataques, dirigiéndose a la Industria de Tecnología, Alimentos, Financiera, Educación y Construcción con víctimas en Brasil, Estados Unidos, Canadá, Honduras, El Salvador y otros países como Egipto, Malasia y Vietnam.

Según las afirmaciones de la banda, el binario del ransomware tiene capacidad para cifrar sistemas Windows, Linux, Servidores de VMware ESXi y otras arquitecturas. La publicación en el foro RAMP también afirma que la versión del malware está escrita en Golang y C++, el algoritmo asimétrico se basa en x25519 y el algoritmo de cifrado utiliza AES256, ChaCha20, XChaCha20.

Durante la intrusión en la red los cibercriminales recopilan todo tipo de información sensible para las operaciones comerciales de la organización, tales como: bases de datos, información de clientes, información personal identificable (PII), contratos, facturas, documentos Legales, correos, etc. Los cuales son enviados a servidores remoto controlados por los atacantes y que luego serán utilizados en la extorsión.

Finalmente, los atacantes dejaran caer el binario del ransomware que cifrará los archivos y cambiará la extensión de los archivos, entregando una nota de rescate con un enlace de acceso a la sala de chat del atacante y el ID de la víctima para negociar el rescate.

Realizando una revisión del sitio de extorsión se han observado controles estrictos en las políticas de Afiliados, tales como:

  • No atacar a países miembros de la CEI (Comunidad de Estados Independientes), Cuba, Corea del Norte y China.
  • Proporcionar a las víctimas un descifrador gratuito en caso de que el afiliado no lo haga después de recibir el pago o incluso, si vuelve a atacar la misma empresa o si se ataca a una organización prohibida.

Estos controles reflejan la experiencia en el mundo cibercriminal que posee este grupo de Ransomware, tratando de posicionarse entre los lideres como es el caso de LockBit Ransomware.

El grupo también ofrece a sus afiliados el 90% del pago por el rescate, pagando solo el 10% a la operación RansomHub, esto como garantía para atraer la confianza de los afiliados a la operación, evitando una mala jugada como ocurrió con la operación de Ransomware ALPH, que no pagó a uno de sus afiliados el rescate de uno de los ataques

¿Cómo opera el ejecutable del Ransomware?

Si bien las investigaciones sobre esta esta familia de ransomware en particular son escasos, el 4 de abril de 2024 el usuario agat en la comunidad de Fortinet, compartió un análisis dinámico de una muestra del binario de RansomHub, que decidió no compartir, debido el incidente de seguridad aún estaba en curso.

Los resultados de su análisis muestran como el binario es capaz de cambiar el fondo de pantalla antes realizar el cifrado modificando el registro “HKCU\\Control Panel\\Desktop” con la ruta de una imagen que posiblemente generó el binario. Además de esto, se observaron la ejecución de los comandos:

Estos comandos permiten detener el servicio IIS, eliminar los registros de eventos de Windows (Application, Security y System), eliminación de instantáneas usando la utilidad wmic y eliminación de copias de seguridad de instantáneas usando la utilidad vssadmin.

Los Shadow Copies (también llamados Volume Shadow Copy Service, Volume Snapshot Service o VSS) son backups o Snapshots de archivos que Microsoft permite crear para ser revertidas en caso cambios o eliminación no deseada.  Estas técnicas son muy comunes en otras operaciones de ransomware que tratan de dejar sin alternativas de restauración a los equipos de TI.

Finalmente, el ransomware comenzará el descubrimiento de archivos en diferentes formatos para comenzar a cifrarlos y cambiar el nombre de la extensión a <alfanumérico minúsculo de 6 caracteres> y dejar la nota de rescate con el nombre README_[mismos_6dígitos].txt.

Por ejemplo: Archivos_cifrados.D6CDC8

README_d6cdc8.txt

Víctimas en Centro América

En el sitio de extorsión de RansomHub se observaron listadas 20 víctimas de diferentes países, 2 de ellas en países centroamericanos: Honduras (Alimentos) y El Salvador (Financiera). Esta es una de las pocas veces que SISAP observa una operación de ransomware recién aparecida y que ataque a más de una organización en Centroamérica en tan poco tiempo. Además de esto, las víctimas son las únicas en Latinoamérica hasta ahora. Esto significa que RansomHub representa una amenaza inminente en la región y podría llegar a atacar más organizaciones.

 

21 de marzo 2024. Industrial de Alimentos EYL S.A en Honduras.

4 de abril 2024. Sociedad de Ahorro y Crédito Constelación, S.A. en El Salvador.

Los ataques de RansomHub están en aumento

Los operadores de RansomHub afirman que exmiembros de la banda de ransomware BlackCat (ALPHV) están incorporándose a esta nueva operación luego del cierre repentino y estafa de salida de $22 millones de dólares a uno de sus afiliados, por parte de BlackCat. Aparentemente los lideres de BlackCat, tomaron la decisión de cerrar sus operaciones en una jugada estratégica, afirmando que su infraestructura de servidores fue incautada por el FBI. Estas afirmaciones fueron negadas por la agencia por lo que se presume que es parte de su estafa de salida. Además, la banda ahora ha puesto en venta el código fuente del ransomware por un costo de 5 millones de dólares.

Aun es incierto si la jugada de BlackCat sea un cambio de marca como lo ha venido haciendo en años anteriores cuando inicio sus operaciones como DarkSide (2020), luego a BlackMatter (2021) y este último BlackCat (ALPHV) (desde 2022). Algunos investigadores consideran que BlackCat ahora operaría como RansomHub, como un nuevo cambio de marca a fin de limpiar su mala reputación entre los cibercriminales.

Las sospechas surgieron luego de que RansomHub publicara en su sitio de extorsión como nueva víctima a Change HealtCare y United Healthcare Group, quien ya aparentemente había pagado un rescate a BlackCat. Esto creó rumores que exmiembros de BlackCat se estaban cambiado de banda a RansomHub o que probablemente se trataba de un cambio de marca. Sin embargo, estas afirmaciones fueron supuestamente negadas por el representante de RansomHub, quien afirma haber sido víctima de BlackCat y estar al tanto de los rumores, además han actualizado su publicación agregando muestras de la información que dicen tener en su poder.

Conclusión.

SISAP continúa monitoreando la operación de RansomHub en la región y es consciente de que esta banda tiene propósitos bien definidos para poder posicionarse como una amenaza potencial, considerando el ataque a 2 entidades en Centroamérica y la amplia experiencia de los cibercriminales que han logrado impactar infraestructuras grandes como la de United Healthcare Group.

Recomendaciones

  1. Monitorear constantemente el tráfico y las amenazas dentro de la red.
  2. Realizar campañas de concientización a los usuarios para responder a ataques de phishing.
  3. No abrir correos sospechosos con archivos o enlaces adjuntos.
  4. Realizar una adecuada gestión de parches y vulnerabilidades
  5. Utilice un software antivirus y antimalware en todos los dispositivos finales.
  6. Realizar copias de seguridad.
  7. Restringir privilegios de usuario.
  8. Utilizar soluciones de detección y respuesta de endpoints (EDR).
  9. Crear plan de respuesta a incidentes.

¿Requiere apoyo o asesoramiento profesional con la implementación de estas recomendaciones?

Contace nuestro equipo ahora