O surgimento e a evolução do RansomHub
O RansomHub nasceu durante o ataque recorde do Change Healthcare no início de 2024.
Quando o Change Healthcare foi atacado, seus dados de saúde foram roubados pela afiliada do ransomware, e seus sistemas foram embaralhados pela própria variedade interna de ransomware do ALPHV.
Uma traição interior
De acordo com os termos e condições da ALPHV, o afiliado deveria receber a maior parte do pagamento de $22 milhões, com a ALPHV recebendo uma parte. Dessa vez, no entanto, os proprietários do ransomware invadiram a carteira do afiliado e roubaram todo o pagamento. Eles então colocaram um aviso falso de remoção do FBI em seu site para confundir os espectadores.
Os pesquisadores agora acreditam que eles conduziram uma saída scam, cortando as faixas de afiliados que, de outra forma, estariam usando seu serviço.
Aproveitando uma oportunidade
Embora o pagamento altíssimo do criminoso tenha sido roubado por seu próprio provedor de ransomware, o afiliado ainda tinha uma coisa: terabytes de dados de saúde da vítima.
No mesmo mês, um esforço global de longa duração chegou a uma conclusão impetuosa, colocando de joelhos o outrora reinante grupo afiliado LockBit. O fluxo de cibercriminosos abandonados pelo ALPHV rapidamente se transformou em uma enxurrada de oportunistas recém-solteiros.
O lançamento do RansomHub
Em abril de 2024, a afiliada original da Change Healthcare ressurgiu com um estrondo — primeiro criando sua própria empresa de extorsão chamada RansomHub — antes de imediatamente extorquir a empresa-mãe da Change Healthcare, a UnitedHealth, com os dados roubados no ataque inicial do ALPHV. O resultado foi uma grande atenção do mercado negro e um benefício financeiro das populares notas de resgate.
Ao publicar uma parte dos arquivos roubados, o RansomHub deixou claro seu lema operacional: “Os membros da nossa equipe estão... interessados [somente] emdólares”.
Os métodos operacionais do RansomHub
O RansomHub, assim como seus antecessores recentes, baseia-se na extorsão dupla, em que um afiliado obtém acesso inicial, rouba o máximo possível de dados confidenciais e, em seguida, libera uma carga de ransomware ao sair. A vítima tem que lidar com o duplo pesadelo de não apenas decodificar seus sistemas para devolver o acesso de funcionários e clientes, mas também com o dilema moral de pagar criminosos para impedir que dados confidenciais sejam publicados.
Esse método de extorsão pode ser levado ainda mais longe no caso de violações de saúde, pois os clientes das empresas podem ser forçados a pagar ou enfrentar a publicação de suas informações pessoais de saúde.
Com os afiliados atraídos pelo foco singular do RansomHub no ganho financeiro, o fator decisivo é como seu ransomware de aluguel realmente funciona. O software do RansomHub combina alguns recursos de linhagens de ransomware mais antigas, como a capacidade do Knight de desativar os recursos de segurança de um dispositivo, reiniciando-o no modo de segurança imediatamente antes da criptografia.
Ele também compartilha uma linguagem de programação com o Snatch, mas com algumas diferenças, como comandos configuráveis e ofuscação de código mais pesada.
Proteção contra ransomware & Estratégias de prevenção
A prevenção do ransomware quase sempre se resume a uma higiene cibernética adequada, portanto, vamos nos concentrar em três estratégias para manter os afiliados do RansomHub afastados.
#1. Use a Autenticação multifatorial
No ataque de ransomware que deu início a tudo, aquele que teve como alvo a Change Healthcare em 2021, um exame pós-forense descobriu que o afiliado em questão havia obtido acesso por meio da conta de um usuário; a senha havia sido reutilizada e, em algum momento, vazada, levando a uma cascata de acesso ilícito e roubo de dados.
Com a Change Healthcare lidando com 40% dos processos de pagamento de saúde de todos os clientes dos EUA — e só agora começando a enviar avisos de roubo de dados pessoais aos clientes afetados — as repercussões financeiras estão apenas começando.
O ataque resume perfeitamente como geralmente é muito mais rápido e fácil simplesmente usar credenciais roubadas. Os infostealers já preencheram esse nicho no mercado de cibercriminosos, tornando ainda mais rápido obter credenciais válidas.
Evitar o uso indevido de credenciais roubadas é uma das mudanças de segurança cibernética mais fáceis de realizar em termos de infraestrutura, especialmente se sua empresa já depende de uma solução de gerenciamento de identidade e acesso (IAM), como Ping, Microsoft ou Okta.
A autenticação multifatorial (MFA) exige que o usuário confirme sua tentativa de login por meio de outra informação e corta a via de ataque dos sequestradores de conta.
#2. Atualize o software regularmente
Mas as credenciais de acesso roubadas não são a única forma de operação dos afiliados do RansomHub: os pesquisadores descobriram recentemente que os criminosos do RansomHub também obtiveram acesso por meio da falha ZeroLogon da Microsoft, antes de implantar acesso remoto legítimo e ferramentas de verificação de rede.
Foi esse processo que lhes permitiu realizar um ataque à casa de leilões Christie's — e os levou, ironicamente, a leiloar dados pessoais da Christie's pelo maior lance.
Ao implementar patches regulares e manter todos os softwares atualizados, você ajuda a evitar qualquer acesso malicioso por meio de falhas incorporadas. Para conseguir isso, analise a gravidade de cada falha de software publicada. Isso ajuda você a priorizar o que deve ser corrigido primeiro.
Ainda melhores são as atualizações automatizadas, que impedem que qualquer uma seja explorada antes que sua equipe comece a consertá-la.
#3. Rede de segmentos
A Patelco Credit Union é uma das vítimas publicadas mais recentemente pelo RansomHub — o portal de extorsão do RansomHub detalhou como a administração da cooperativa de crédito “não se importa nem um pouco com a privacidade” de seus clientes. Dado o MO de ataques intensos ao endpoint, seguidos de movimento lateral em direção a bancos de dados com muitas informações de identificação pessoal, a segmentação do endpoint tem um grande potencial para interromper o RansomHub.
Para implementar a segmentação da rede, as equipes de rede devem começar desenvolvendo políticas de segurança adaptadas a cada tipo de dados e ativos que exigem proteção. Essas políticas devem especificar cada recurso, os usuários e sistemas que o acessam e o nível de acesso que deve ser concedido.
Implementando controles de acesso à lista de permissões
A próxima etapa envolve a implementação de controles de acesso à lista de permissões, o que aumenta muito a segurança da rede.
Para que isso seja eficaz, as equipes devem mapear os fluxos de dados do aplicativo para cada aplicativo. Embora esse processo possa ser demorado, o investimento é justificado quando comparado com os possíveis custos de uma violação de segurança cibernética e é muito mais fácil do que tentar remover o ransomware.
Mantenha os afiliados do RansomHub afastados com a segurança da Check Point
Em vez de gastar centenas de horas-homem para corrigir sua postura de segurança, dê passos largos em direção à proteção completa contra ransomware com o Check Point Harmony.
Sua abordagem multifacetada protege e-mail, endpoint, software e bancos de dados com um conjunto de proteção de alta fidelidade. As habilidades de processamento de linguagem natural identificam quando e-mails fraudulentos são enviados, enquanto a análise de arquivos just-in-time evita downloads maliciosos.
Automatize o gerenciamento de vulnerabilidades e patches e proteja os bancos de dados com a Prevenção de perda de dados (DLP) líder do setor. Por fim, coloque tudo isso em um único painel de controle, por meio de um dashboard de fácil leitura. Inicie sua campanha de defesa no RansomHub com um demo hoje mesmo.
Opinião