La nascita e l'evoluzione di RansomHub
RansomHub è nato in preda all'attacco record Change Healthcare all'inizio del 2024.
Quando Change Healthcare è stata attaccata, i suoi dati sanitari sono stati rubati dall'affiliato del ransomware e i suoi sistemi sono stati criptati dal ceppo di ransomware interno di ALPHV.
Un tradimento interiore
Secondo i termini e le condizioni di ALPHV, l'affiliato avrebbe dovuto guadagnare la maggior parte del pagamento di $ 22 milioni, con ALPHV che ha ricevuto una parte. Questa volta, tuttavia, i proprietari del ransomware hanno fatto irruzione nel portafoglio dell'affiliato e hanno rubato l'intero pagamento. Hanno poi pubblicato un falso avviso di rimozione dell'FBI sul loro sito web per confondere gli spettatori.
I ricercatori ora credono di aver condotto un scamdi uscita, tagliando fuori le fasce di affiliati che altrimenti avrebbero utilizzato il loro servizio.
Cogliere un'opportunità
Sebbene il pagamento da capogiro del criminale fosse stato rubato dal proprio fornitore di ransomware, l'affiliato aveva ancora una cosa: terabyte di dati sanitari della vittima.
Nello stesso mese, uno sforzo globale di lunga data ha raggiunto una conclusione infuocata, mettendo in ginocchio il gruppo affiliato LockBit, un tempo in carica. Il rivolo di criminali informatici abbandonati da ALPHV si è rapidamente trasformato in una marea di opportunisti appena solisti.
Il lancio di RansomHub
Nell'aprile 2024, l'affiliato originale di Change Healthcare è riemerso con il botto, creando prima la propria società di estorsione soprannominata RansomHub, prima di estorcere immediatamente alla società madre di Change Healthcare, UnitedHealth, i dati che aveva rubato nell'attacco iniziale ALPHV. Il risultato è stato un'attenzione massiccia del mercato nero e un vantaggio finanziario dalle popolari richieste di riscatto.
Pubblicando una parte dei file rubati, RansomHub ha chiarito il suo motto operativo: "I membri del nostro team sono... interessato [solo] ai dollari".
I metodi operativi di RansomHub
RansomHub, come i suoi recenti predecessori, si basa sulla doppia estorsione, in cui un affiliato ottiene l'accesso iniziale, ruba il maggior numero possibile di dati sensibili e poi rilascia un payload ransomware durante la sua uscita. La vittima è lasciata a gestire il doppio incubo non solo di decodificare i suoi sistemi per restituire l'accesso a dipendenti e clienti, ma anche il dilemma morale di pagare i criminali per impedire la pubblicazione di dati sensibili.
Questo metodo di estorsione può essere ulteriormente spinto in caso di violazioni sanitarie, poiché i clienti delle aziende possono essere costretti a pagare o a dover affrontare la pubblicazione delle loro informazioni sanitarie personali.
Con gli affiliati attratti dalla singolare attenzione di RansomHub al guadagno finanziario, il fattore decisivo è il modo in cui funziona effettivamente il suo ransomware a pagamento. Il software di RansomHub combina alcune funzionalità di vecchi ceppi di ransomware, come la capacità di Knight di disattivare le funzionalità di sicurezza di un dispositivo riavviandolo in modalità provvisoria appena prima della crittografia.
Condivide anche un linguaggio di programmazione con Snatch, ma con alcune differenze come i comandi configurabili e l'offuscamento del codice più pesante.
Strategie di protezione e prevenzione ransomware
La prevenzione del ransomware si riduce quasi sempre a un'adeguata igiene informatica, quindi concentriamoci su 3 strategie per tenere a bada gli affiliati di RansomHub.
#1. Utilizzare l'autenticazione a più fattori
Nell'attacco ransomware che ha dato il via a tutto, quello che ha preso di mira Change Healthcare nel 2021, un esame post-forense ha scoperto che l'affiliato in questione aveva ottenuto l'accesso tramite l'account di un utente; La password era stata riutilizzata e a un certo punto era trapelata, portando a una cascata di accessi illeciti e furti di dati.
Con Change Healthcare che gestisce il 40% di tutti i processi di pagamento sanitario dei clienti statunitensi e solo ora inizia a inviare notifiche di furto di dati personali ai clienti interessati, le ripercussioni finanziarie sono appena iniziate.
L'attacco racchiude perfettamente il fatto che spesso è molto più veloce e più facile utilizzare semplicemente le credenziali rubate. Gli infostealer hanno già riempito questa nicchia nel mercato dei criminali informatici, rendendo ancora più veloce l'approvvigionamento di credenziali valide.
Prevenire l'uso improprio delle credenziali rubate è una delle modifiche alla sicurezza informatica più semplici dal punto di vista infrastrutturale, soprattutto se la tua azienda si affida già a una soluzione di gestione delle identità e degli accessi (IAM) come Ping, Microsoft o Okta.
L'autenticazione a più fattori (MFA) richiede all'utente di confermare il tentativo di accesso tramite un'altra informazione e interrompe la via di attacco dei dirottatori di account.
#2. Aggiorna regolarmente il software
Ma le credenziali di accesso rubate non sono l'unico modo in cui operano gli affiliati di RansomHub: i ricercatori hanno recentemente scoperto che i criminali di RansomHub hanno ottenuto l'accesso tramite il difetto Microsoft ZeroLogon, prima di implementare strumenti legittimi di accesso remoto e scansione della rete.
È questo processo che ha permesso loro di condurre un attacco alla casa d'aste Christie's e li ha portati, ironicamente, a mettere all'asta i dati personali di Christie's al miglior offerente.
Implementando patch regolari e mantenendo aggiornati tutti i componenti software, contribuisci a prevenire qualsiasi accesso dannoso tramite difetti incorporati. Per raggiungere questo obiettivo, esamina la gravità di ogni difetto del software pubblicato. Questo ti aiuta a dare la priorità a quale dovrebbe essere patchato per primo.
Ancora meglio sono gli aggiornamenti automatici, che impediscono di sfruttarli prima che il tuo team si metta a risolverlo.
#3. Rete di segmenti
Patelco Credit Union è una delle vittime pubblicate più di recente da RansomHub: il portale di estorsione di RansomHub ha dettagliato come la direzione della cooperativa di credito "non si preoccupi affatto della privacy" dei suoi clienti. Dato il loro MO di attacchi intensamente pesanti sugli endpoint, seguiti da un movimento laterale verso database pesanti di PII, la segmentazione degli endpoint ha un grande potenziale di arresto di RansomHub.
Per implementare la segmentazione della rete, i team di rete devono iniziare sviluppando policy di sicurezza su misura per ogni tipo di dati e asset che richiede protezione. Queste policy devono specificare ogni risorsa, gli utenti e i sistemi che vi accedono e il livello di accesso che deve essere concesso.
Implementazione dei controlli di accesso all'elenco Consentiti
Il passaggio successivo prevede l'implementazione dei controlli di accesso all'elenco consentito, che migliorano notevolmente la sicurezza della rete.
Affinché ciò sia efficace, i team devono mappare i flussi di dati dell'applicazione per ogni applicazione. Sebbene questo processo possa richiedere molto tempo, l'investimento è giustificato se confrontato con i potenziali costi di una violazione della sicurezza informatica ed è molto più semplice rispetto al tentativo di rimuovere il ransomware.
Tieni lontani gli affiliati di RansomHub con Check Point Security
Invece di spendere centinaia di ore per sistemare la tua posizione di sicurezza, fai passi da gigante verso una protezione completa dal ransomware con Check Point Harmony.
Il suo approccio multiforme protegge e-mail, endpoint, software e database con una suite di protezione ad alta fedeltà. Le capacità di elaborazione del linguaggio naturale identificano l'invio di e-mail fraudolente, mentre l'analisi dei file just-in-time impedisce download dannosi.
Automatizza la gestione delle vulnerabilità e delle patch e proteggi i database con Data Loss Preventionleader del settore. Infine, metti tutto questo dietro un unico pannello di controllo, tramite una dashboard facilmente leggibile. Inizia oggi stesso la tua campagna di difesa di RansomHub con una demo.
Feedback