El surgimiento y la evolución de RansomHub
RansomHub nació en medio del ataque sin precedentes de Change Healthcare a principios de 2024.
Cuando Change Healthcare fue atacado, sus datos de atención médica fueron robados por la filial de ransomware, y sus sistemas fueron codificados por la cepa interna de ransomware de ALPHV.
Una traición interior
Según los términos y condiciones de ALPHV, se suponía que el afiliado ganaría la mayoría del pago de 22 millones de dólares, y se le daría una parte. Esta vez, sin embargo, los propietarios del ransomware irrumpieron en la billetera del afiliado y robaron todo el pago. Luego pegaron un aviso falso de eliminación del FBI en su sitio web para confundir a los espectadores.
Los investigadores ahora creen que llevaron a cabo una estafa de salida, cortando las franjas de afiliados que de otro modo estuvieron usando su servicio.
Aprovechar una oportunidad
Si bien el pago del delincuente fue robado por su propio proveedor de ransomware, el afiliado todavía tenía una cosa: terabytes de datos de salud de la víctima.
En el mismo mes, un esfuerzo global de larga duración llegó a una conclusión ardiente, poniendo de rodillas al grupo afiliado LockBit. El goteo de ciberdelincuentes abandonados por ALPHV se convirtió rápidamente en una avalancha de nuevos oportunistas en solitario.
El lanzamiento de RansomHub
En abril de 2024, la filial original de Change Healthcare resurgió con una explosión, primero creando su propia compañía de extorsión denominada RansomHub, antes de extorsionar inmediatamente a la compañía matriz de Change Healthcare, UnitedHealth, con los datos que robaron en el ataque inicial de ALPHV. El resultado fue una gran cantidad de atención en el mercado negro y una bendición financiera de las populares notas de rescate.
Al publicar una parte de los archivos robados, RansomHub dejó claro su lema operativo: "Los afiliados a nuestro equipo son... interesado [sólo] en dólares".
Los métodos operativos de RansomHub
RansomHub, al igual que sus predecesores recientes, se basa en la doble extorsión, en la que un afiliado obtiene acceso inicial, roba la mayor cantidad posible de datos confidenciales y luego desata una carga útil de ransomware en su salida. La víctima tiene que lidiar con la doble pesadilla de no solo descodificar sus sistemas para devolver el acceso de empleados y clientes, sino también el dilema moral de pagar a los delincuentes para que impidan que se publiquen datos confidenciales.
Este método de extorsión puede ir aún más lejos en el caso de las violaciones de la atención médica, ya que los clientes de las compañías pueden ver obligados a pagar o enfrentar a la publicación de su información médica personal.
Dado que los afiliados se sienten atraídos por el enfoque singular de RansomHub en las ganancias financieras, el factor decisivo es cómo funciona realmente su ransomware de alquiler. El software de RansomHub combina algunas características de cepas de ransomware más antiguas, como la capacidad de Knight para apagar las funciones de seguridad de un dispositivo resetear en modo seguro justo antes del cifrado.
También comparte un lenguaje de programación con Snatch, pero con algunas diferencias como comandos configurables y una ofuscación de código más pesada.
Estrategias de protección y prevención de ransomware
La prevención del ransomware casi siempre se reduce a una higiene cibernética adecuada, por lo tanto, centrémonos en 3 estrategias para mantener a raya a los afiliados de RansomHub.
#1. Emplee la autenticación de múltiples factores
En el ataque de ransomware que lo inició todo, el que tuvo como objetivo Change Healthcare en 2021, un examen forense posterior descubrió que el afiliado en cuestión obtuvo acceso a través de la cuenta de un usuario; La contraseña fue reutilizada y en algún momento filtrada, lo que provocó una cascada de accesos ilícitos y robos de datos.
Dado que Change Healthcare maneja el 40% de todos los procesos de pago de salud de los clientes de EE. UU ., y solo ahora comienza a enviar avisos de robo de datos personales a los clientes afectados, las repercusiones financieras no hicieron más que empezar.
El ataque resume perfectamente cómo a menudo es mucho más rápido y fácil simplemente usar credenciales robadas. Los ladrones de información ya llenaron este nicho en el mercado de los ciberdelincuentes, lo que hace que sea aún más rápido obtener credenciales válidas.
Evitar el uso indebido de credenciales robadas es uno de los cambios de ciberseguridad más fáciles de llevar a cabo desde el punto de vista de la infraestructura, especialmente si su compañía ya depende de una solución de gestión de identidades y accesos (IAM) como Ping, Microsoft u Okta.
La autenticación de múltiples factores (MFA) requiere que un usuario confirme su intento de inicio de sesión a través de otra información, y corta la vía de ataque de los secuestradores de cuentas.
#2. Actualice el software con regularidad
Pero las credenciales de acceso robadas no son la única forma en que operan los afiliados de RansomHub: los investigadores descubrieron recientemente que los delincuentes de RansomHub también estuvieron obteniendo acceso a través de la falla Microsoft ZeroLogon, antes de implementar herramientas legítimas de acceso remoto y escaneo de red.
Es este proceso el que les permitió llevar a cabo un ataque contra la casa de subastas Christie's, y les llevó, irónicamente, a subastar los datos personales de Christie's al mejor postor.
Al implementar parches regulares y mantener todas las piezas de software actualizadas, ayuda a prevenir cualquier acceso malicioso a través de fallas incrustadas. Para lograr esto, analice la gravedad de cada falla de software publicada. Esto lo ayuda a priorizar qué se debe parchear primero.
Aún mejores son las actualizaciones automáticas, que evitan que se explote antes de que su equipo llegue a arreglarlo.
#3. Segmento rojo
Patelco Credit Union es una de las víctimas más recientemente publicadas por RansomHub: el portal de extorsión de RansomHub detalló cómo la dirección de la cooperativa de crédito "no se preocupa en absoluto por la privacidad" de sus clientes. Dado su modus operandi de intensos ataques con gran cantidad de terminales, seguidos de un movimiento lateral hacia bases de datos con mucha información de identificación personal, la segmentación de terminales tiene un gran potencial para detener RansomHub.
Para implementar la segmentación de la red, los equipos de red deben comenzar por desarrollar políticas de seguridad adaptadas a cada tipo de datos y activos que requieren protección. Estas políticas deben especificar cada recurso, los usuarios y sistemas que acceden a él y el nivel de acceso que se debe conceder.
Implementación de controles de acceso a la lista de permitidos
El siguiente paso consiste en implementar controles de acceso a la lista de permitidos, que mejoran en gran medida la seguridad de la red.
Para que esto sea eficaz, los equipos deben mapear los flujos de datos de la aplicación para cada aplicación. Aunque este proceso puede llevar mucho tiempo, la inversión se justifica cuando se compara con los costos potenciales de una violación de ciberseguridad, y es mucho más fácil que tratar de eliminar el ransomware.
Mantenga alejados a los afiliados de RansomHub con Check Point Security
En lugar de dedicar cientos de horas de trabajo a arreglar su postura de seguridad, dé grandes pasos hacia una protección completa contra el ransomware con Check Point Harmony.
Su enfoque multifacético protege el email, el terminal, el software y las bases de datos con un conjunto de protección de alta fidelidad. Las capacidades de procesamiento del lenguaje natural identifican cuándo se envían emails fraudulentos, mientras que el análisis de archivos justo a tiempo evita las descargas maliciosas.
Automatice la gestión de vulnerabilidades y parches y proteja las bases de datos con la tecnología líder del sector Prevención de pérdida de datos. Por último, coloque todo esto detrás de un único panel, a través de un panel de control fácilmente legible. Comience su campaña de defensa de RansomHub con una demostración hoy mismo.
Comentarios