What is RansomHub Ransomware?

Check PointLe dernier Threat Index de la Commission européenne montre que le groupe de cybermenaces RansomHub est l'un des groupes de logiciels rançonneurs les plus répandus aujourd'hui - brutalement efficace grâce à son modèle de logiciel rançonneur en tant que service (RaaS). Une combinaison de logiciels rançonneurs préexistants et d'une éthique financière singulière a permis à ce groupe de voler les informations personnelles de millions d'Américains.

Antiransomwares ​​Demande de démo

L'émergence et l'évolution de RansomHub

RansomHub a vu le jour au début de l'année 2024, lors de l'attaque record de Change Healthcare.

Lorsque Change Healthcare a été attaqué, ses données médicales ont été volées par l'affilié du logiciel rançonneur et ses systèmes ont été brouillés par la souche interne du logiciel rançonneur d'ALPHV.

Une trahison intérieure

Selon les conditions générales d'ALPHV, l'affilié était censé gagner la majorité des 22 millions de dollars versés, ALPHV recevant une partie de cette somme. Cette fois, cependant, les propriétaires du logiciel rançonneur se sont introduits dans le portefeuille de l'affilié et ont volé la totalité du paiement. Ils ont ensuite affiché un faux avis de retrait du FBI sur leur site web pour confondre les spectateurs.

Les chercheurs pensent aujourd'hui qu'ils ont procédé à une fraude à la sortie, en coupant des pans entiers d'affiliés qui, autrement, auraient utilisé leur service.

Saisir une opportunité

Alors que les gains mirobolants des criminels avaient été volés par leur propre fournisseur de logiciel rançonneur, l'affilié possédait toujours une chose : des téraoctets de données sur la santé des victimes.

Le même mois, un effort mondial de longue haleine a abouti à une conclusion brûlante, mettant à genoux le groupe d'affiliés LockBit, qui régnait autrefois sur le marché. Le flot de cybercriminels abandonnés par ALPHV s'est rapidement transformé en un flot de nouveaux opportunistes solitaires.

Le lancement de RansomHub

En avril 2024, la filiale initiale de Change Healthcare a refait surface avec fracas, créant d'abord sa propre société d'extorsion baptisée RansomHub, avant d'extorquer immédiatement la société mère de Change Healthcare, UnitedHealth, avec les données qu'elle avait dérobées lors de l'attaque initiale d'ALPHV. Il en est résulté une grande attention de la part du marché noir et une manne financière grâce à la popularité des notes de rançon.

En publiant une partie des fichiers volés, RansomHub a clairement indiqué sa devise opérationnelle : "Les membres de notre équipe ne s'intéressent qu'aux dollars".

Les méthodes opérationnelles de RansomHub

RansomHub, comme ses prédécesseurs récents, repose sur une double extorsion : un affilié obtient un accès initial, vole autant de données sensibles que possible, puis libère un logiciel rançonneur en sortant. La victime se retrouve face à un double cauchemar : non seulement elle doit désembrouiller ses systèmes pour rétablir l'accès des employés et des clients, mais elle doit aussi faire face au dilemme moral de payer des criminels pour empêcher la publication de données sensibles.

Cette méthode d'extorsion peut être poussée encore plus loin dans le cas d'atteintes aux soins de santé, les clients des entreprises pouvant être contraints de payer, sous peine de voir leurs informations médicales personnelles publiées.

Les affiliés étant attirés par l'accent mis par RansomHub sur le gain financier, le facteur décisif est la manière dont son logiciel rançonneur fonctionne réellement. Le logiciel de RansomHub combine quelques caractéristiques d'anciennes souches de logiciel rançonneur, comme la capacité de Knight à désactiver les fonctions de sécurité d'un appareil en le redémarrant en mode sans échec juste avant le chiffrement.

Il partage également un langage de programmation avec Snatch, mais avec quelques différences comme des commandes configurables et une obfuscation du code plus importante.

logiciel rançonneur Protection & Stratégies de prévention

logiciel rançonneur la prévention se résume presque toujours à une bonne hygiène cybernétique - nous allons donc nous concentrer sur 3 stratégies pour tenir les affiliés de RansomHub à distance.

#1. Utilisez l'authentification multi-facteurs

Dans l'attaque du logiciel rançonneur qui a tout déclenché, celle qui a visé Change Healthcare en 2021, un examen postforensique a permis de découvrir que l'affilié en question avait obtenu un accès via le compte d'un utilisateur ; le mot de passe avait été réutilisé et, à un moment donné, avait fait l'objet d'une fuite, ce qui a entraîné une cascade d'accès illicites et de vols de données.

Alors que Change Healthcare gère 40 % des processus de paiement des soins de santé de tous les clients américains - et qu'il commence à peine à envoyer des avis de vol de données personnelles aux clients concernés - les répercussions financières ne font que commencer.

Cette attaque illustre parfaitement le fait qu'il est souvent beaucoup plus rapide et facile d'utiliser des informations d'identification volées. Les voleurs d'informations ont déjà occupé ce créneau sur le marché de la cybercriminalité, rendant encore plus rapide l'obtention d'informations d'identification valides.

Empêcher l'utilisation abusive d'informations d'identification volées est l'un des changements de cybersécurité les plus faciles à mettre en œuvre sur le plan infrastructurel, en particulier si votre entreprise s'appuie déjà sur une solution de gestion des identités et des accès (IAM) telle que Ping, Microsoft ou Okta.

L'authentification multifacteurs (MFA) exige que l'utilisateur confirme sa tentative de connexion au moyen d'un autre élément d'information - ce qui coupe la voie d'attaque des pirates de comptes.

#2. Mettez régulièrement à jour les logiciels

Les chercheurs ont récemment découvert que les criminels de RansomHub obtenaient également un accès via la faille ZeroLogon de Microsoft, avant de déployer des outils légitimes d'accès à distance et de balayage du réseau.

C'est ce processus qui leur a permis d'attaquer la maison de vente aux enchères Christie's - et qui les a conduits, ironiquement, à vendre aux enchères les données personnelles de Christie's au plus offrant.

En appliquant régulièrement des correctifs et en maintenant tous les logiciels à jour, vous contribuez à empêcher tout accès malveillant par le biais de failles intégrées. Pour ce faire, examinez la gravité de chaque faille logicielle publiée. Cela vous permet d'établir un ordre de priorité pour les correctifs à apporter en premier lieu.

Les mises à jour automatisées sont encore meilleures, car elles empêchent toute exploitation avant que votre équipe n'ait le temps d'y remédier.

#3. Segment réseau

La Patelco Credit Union est l'une des victimes les plus récemment publiées par RansomHub. Le portail d'extorsion de RansomHub explique en détail comment la direction de la coopérative de crédit "ne se soucie pas du tout de la vie privée" de ses clients. Compte tenu de leur mode opératoire, qui consiste à mener des attaques intensément axées sur les postes, suivies d'un mouvement latéral vers les bases de données contenant des informations confidentielles, la segmentation des postes a un grand potentiel pour stopper le RansomHub.

Pour mettre en œuvre la segmentation du réseau, les équipes réseau doivent commencer par élaborer des politiques de sécurité adaptées à chaque type de données et d'actifs à protéger. Ces politiques doivent spécifier chaque ressource, les utilisateurs et les systèmes qui y ont accès, ainsi que le niveau d'accès qui doit être accordé.

Mise en œuvre des contrôles d'accès Allowlist

L'étape suivante consiste à mettre en place des contrôles d'accès par liste d'autorisation, qui renforcent considérablement la sécurité du réseau.

Pour que cela soit efficace, les équipes doivent définir les flux de données application pour chaque application. Bien que ce processus puisse prendre du temps, l'investissement est justifié lorsqu'il est comparé aux coûts potentiels d'une atteinte à la cybersécurité - et il est bien plus facile que d'essayer de supprimer le logiciel rançonneur.

Gardez les affiliés de RansomHub à l'écart avec Check Point Security

Plutôt que de passer des centaines d'heures à réparer votre dispositif de sécurité, faites des pas de géant vers une protection complète du logiciel rançonneur avec Check Point Harmony.

Son approche à multiples facettes sécurise le courrier électronique, les postes, les logiciels et les bases de données à l'aide d'une suite de protections de haute fidélité. Les capacités de traitement du langage naturel permettent d'identifier l'envoi de courriels frauduleux, tandis que l'analyse des fichiers en temps réel permet d'éviter les téléchargements malveillants.

Automatisez la gestion de la vulnérabilité et des correctifs et protégez les bases de données grâce à la solution de pointe Prévention de la perte de données. Enfin, mettez tout cela derrière une seule vitre, via un tableau de bord facilement lisible. Commencez dès aujourd'hui votre campagne de défense RansomHub avec une démo.

Commencez

Harmony Endpoint

Le Guide du RSSI sur la prévention des logiciels rançonneurs

Rapport Cybersécurité 2024 de Check Point

Infographie de l’enquête IDC 2024 sur le leadership éclairé des RSSI/DSI

Protection contre les logiciels rançonneurs

Sujets connexes

logiciel rançonneur

logiciel rançonneur Recovery

Locker logiciel rançonneur

Triple Extortion logiciel rançonneur

Akira Ransomware

×
  Commentaires
Ce site web utilise des cookies pour sa fonctionnalité et à des fins d'analyse et de marketing. En continuant à utiliser ce site web, vous acceptez l'utilisation de cookies. Pour plus d'informations, veuillez lire notre avis sur les cookies.
OK