What is RansomHub Ransomware?

Check Point Der neueste Bedrohungsindex von hat gezeigt, dass die Cyber-Bedrohungsgruppe RansomHub heute eine der am weitesten verbreiteten Ransomware -Gruppen ist – brutal effizient aufgrund ihres Ransomware -as-a-Service (RaaS)-Modells. Eine Kreuzung aus bereits vorhandener Ransomware und einem einzigartigen finanziellen Ethos hat es dieser Gruppe ermöglicht, die persönlichen Daten von Millionen von Amerikanern zu stehlen.

Anit-Ransomware ​​Fordern Sie eine Demo an

Die Entstehung und Entwicklung von RansomHub

RansomHub wurde Anfang 2024 inmitten des rekordverdächtigen Angriffs auf Change Healthcare geboren.

Als Change Healthcare angegriffen wurde, wurden seine Gesundheitsdaten von der Ransomware-Tochter gestohlen, und seine Systeme wurden von ALPHVs eigenem internen Ransomware-Stamm durcheinander gebracht.

Ein innerer Verrat

Gemäß den Allgemeinen Geschäftsbedingungen von ALPHV sollte die Tochtergesellschaft einen Großteil der Auszahlung in Höhe von 22 Millionen US-Dollar erhalten, wobei ALPHV eine Kürzung erhielt. Diesmal brachen die Ransomware-Besitzer jedoch in die Brieftasche des Partners ein und stahlen die gesamte Auszahlung. Dann veröffentlichten sie eine gefälschte FBI-Takedown-Notice auf ihrer Website, um die Zuschauer zu verwirren.

Die Forscher glauben nun, dass sie einen Exit-Betrug durchgeführt haben, indem sie die Schwaden der Affiliates abgeschnitten haben, die sie sonst ihren Service genutzt hätten.

Eine Chance ergreifen

Während die atemberaubende Auszahlung des Kriminellen von seinem eigenen Ransomware-Anbieter gestohlen worden war, hatte der Partner immer noch eines: Terabytes an Gesundheitsdaten der Opfer.

Im selben Monat fand eine langjährige globale Anstrengung ein feuriges Ende, das die einst regierende Schwestergruppe LockBit in die Knie zwang. Das Rinnsal von Cyberkriminellen, das von ALPHV im Stich gelassen wurde, wuchs schnell zu einer Flut von neuen Solo-Opportunisten an.

Der Start von RansomHub

Im April 2024 tauchte die ursprüngliche Tochtergesellschaft von Change Healthcare mit einem Paukenschlag wieder auf – zunächst gründete sie ihr eigenes Erpressungsunternehmen namens RansomHub –, bevor sie sofort die Muttergesellschaft von Change Healthcare, UnitedHealth, mit den Daten erpresste, die sie beim ersten ALPHV-Angriff gestohlen hatte. Das Ergebnis war massenhaft Aufmerksamkeit auf dem Schwarzmarkt und ein finanzieller Segen durch die populären Lösegeldforderungen.

Mit der Veröffentlichung eines Teils der gestohlenen Dateien machte RansomHub sein operatives Motto deutlich: "Unsere Teammitglieder sind... die sich [nur] für Dollars interessieren."

Die Betriebsmethoden von RansomHub

RansomHub stützt sich, wie seine jüngsten Vorgänger, auf doppelte Erpressung – bei der ein Partner ersten Zugang erhält, so viele sensible Daten wie möglich stiehlt und dann auf dem Weg nach draußen eine Ransomware-Nutzlast freisetzt. Das Opfer muss sich nicht nur mit dem doppelten Albtraum auseinandersetzen, seine Systeme zu entschlüsseln, um den Zugang zu Mitarbeitern und Kunden zurückzugeben, sondern auch mit dem moralischen Dilemma, Kriminelle dafür zu bezahlen, dass sie die Veröffentlichung sensibler Daten verhindern.

Diese Erpressungsmethode kann im Falle von Verstößen gegen das Gesundheitswesen noch weiter vorangetrieben werden, da die Kunden von Unternehmen gezwungen werden können, zu zahlen, oder mit der Veröffentlichung ihrer persönlichen Gesundheitsdaten konfrontiert werden müssen.

Da Affiliates von RansomHubs einzigartigem Fokus auf finanziellen Gewinn angezogen werden, ist der entscheidende Faktor, wie die Auftragsransomware tatsächlich funktioniert. Die Software von RansomHub kombiniert einige Funktionen älterer Ransomware-Stämme, wie z. B. die Fähigkeit von Knight, die Sicherheitsfunktionen eines Geräts herunterzufahren, indem es kurz vor der Authentifizierung im abgesicherten Modus neu gestartet wird.

Es teilt sich auch eine Programmiersprache mit Snatch, aber mit einigen Unterschieden wie konfigurierbaren Befehlen und stärkerer Code-Verschleierung.

Strategien zum Schutz und zur Prävention von Ransomware

Die Prävention von Ransomware hängt fast immer von einer angemessenen Cyber-Hygiene ab – lassen Sie uns also 3 Strategien entwickeln, um RansomHub-Partner in Schach zu halten.

#1. Mehrstufige Authentifizierung verwenden

Bei dem Ransomware-Angriff, mit dem alles begann, der 2021 auf Change Healthcare abzielte, ergab eine nachforensische Untersuchung, dass sich das betreffende Unternehmen über das Konto eines Benutzers Zugang verschafft hatte. Das Passwort war wiederverwendet worden und irgendwann durchgesickert, was zu einer Kaskade von illegalen Zugriffen und Datendiebstahl führte.

Da Change Healthcare 40 % aller Zahlungsvorgänge für Gesundheitskunden in den USA abwickelt – und erst jetzt damit beginnt, Benachrichtigungen über den Diebstahl personenbezogener Daten an betroffene Kunden zu versenden – haben die finanziellen Auswirkungen gerade erst begonnen.

Der Angriff fasst perfekt zusammen, dass es oft viel schneller und einfacher ist, gestohlene Anmeldeinformationen einfach zu verwenden. Infostealer haben diese Nische auf dem cyberkriminellen Markt bereits gefüllt, so dass es noch schneller ist, gültige Anmeldeinformationen zu beschaffen.

Die Verhinderung des Missbrauchs gestohlener Anmeldeinformationen ist eine der infrastrukturell einfachsten Änderungen im Bereich der Cybersicherheit, insbesondere wenn Ihr Unternehmen bereits auf eine Identity and Access Management (IAM)-Lösung wie Ping, Microsoft oder Okta angewiesen ist.

Die mehrstufige Authentifizierung (MFA) erfordert, dass ein Benutzer seinen Anmeldeversuch über eine andere Information bestätigt – und schneidet damit den Angriffsmöglichkeiten von Kontoentführern ab.

#2. Aktualisieren Sie die Software regelmäßig

Aber gestohlene Zugangsdaten sind nicht die einzige Art und Weise, wie RansomHub-Partner arbeiten: Forscher entdeckten kürzlich, dass RansomHub-Kriminelle sich auch über die Microsoft ZeroLogon-Schwachstelle Zugang verschafft haben, bevor sie legitime Fernzugriffs- und Netzwerk-Scan-Tools einsetzten.

Es war dieser Prozess, der es ihnen ermöglichte, einen Angriff auf das Auktionshaus Christie's durchzuführen – und ironischerweise dazu führte, dass sie Christies persönliche Daten an den Meistbietenden versteigerten.

Indem Sie regelmäßige Patches implementieren und alle Softwareteile auf dem neuesten Stand halten, tragen Sie dazu bei, böswillige Zugriffe über eingebettete Fehler zu verhindern. Um dies zu erreichen, sollten Sie sich den Schweregrad jedes veröffentlichten Softwarefehlers ansehen. Dies hilft Ihnen bei der Priorisierung, welche zuerst gepatcht werden sollten.

Noch besser sind automatisierte Updates, die verhindern, dass sie ausgenutzt werden, bevor Ihr Team dazu kommt, das Problem zu beheben.

#3. Segment Netzwerk

Die Patelco Credit Union ist eines der zuletzt veröffentlichten Opfer von RansomHub – das Erpressungsportal von RansomHub beschreibt, wie sich das Management der Kreditgenossenschaft "überhaupt nicht um die Privatsphäre" seiner Kunden kümmert. Angesichts der MO von stark Endgerät-lastigen Angriffen, gefolgt von einer lateralen Bewegung hin zu PII-lastigen Datenbanken, hat die Endgerät-Segmentierung ein großes Potenzial, RansomHub zu stoppen.

Um die Netzwerk-Segmentierung zu implementieren, sollten Netzwerk-Teams zunächst Sicherheitsrichtlinien entwickeln, die auf jede Art von Daten und Ressourcen zugeschnitten sind, die geschützt werden müssen. Diese Richtlinien sollten jede Ressource, die Benutzer und Systeme, die darauf zugreifen, sowie die Zugriffsebene, die gewährt werden soll, angeben.

Implementieren von Zugriffskontrollen auf Zulassungslisten

Der nächste Schritt umfasst die Implementierung von Zugriffskontrollen auf Zulassungslisten, die die Sicherheit des Netzwerks erheblich erhöhen.

Damit dies effektiv ist, müssen Teams die Anwendungsdatenflüsse für jede Anwendung abbilden. Obwohl dieser Prozess zeitaufwändig sein kann, ist die Investition gerechtfertigt, wenn man sie gegen die potenziellen Kosten einer Cybersicherheitsverletzung abwägt – und ist weitaus einfacher als der Versuch, Ransomware zu entfernen.

Halten Sie RansomHub-Partner mit Check Point Security fern

Anstatt Hunderte von Arbeitsstunden damit zu verbringen, Ihre Sicherheitslage zu verbessern, sollten Sie mit Check Point Harmony massive Schritte in Richtung eines vollständigen Ransomware-Schutzes unternehmen.

Der vielseitige Ansatz schützt E-Mails, Endgeräte, Software und Datenbanken mit einer Suite von High-Fidelity-Schutz. Die Fähigkeit zur Verarbeitung natürlicher Sprache erkennt, wann betrügerische E-Mails gesendet werden, während die Just-in-Time-Dateianalyse bösartige Downloads verhindert.

Automatisieren Sie das Schwachstellen- und Patch-Management und schützen Sie Datenbanken mit branchenführenden Data Loss Prevention. Und schließlich können Sie all dies über ein leicht lesbares Dashboard hinter einer einzigen Oberfläche ablegen. Starten Sie Ihre RansomHub-Verteidigungskampagne noch heute mit einer Demo.

Loslegen

Harmony Endpoint

Der CISO-Leitfaden zur Ransomware-Prävention

Check PointCybersicherheitsbericht 2024

Infografik zur IDC CISO/CIO Thought Leadership-Umfrage 2024

Schutz vor Ransomware

Verwandte Themen

Ransomware

Ransomware-Wiederherstellung

Locker-Ransomware

Dreifache Erpressung Ransomware

Akira Ransomware

×
  Feedback
Diese Website verwendet Cookies für ihre Funktionalität sowie für Analyse- und Marketingzwecke. Mit der weiteren Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen finden Sie in unserem Cookies Hinweis.
OK