Comment RansomHub prospère sur les cendres de Lockbit et BlackCat

Des affiliés du gang RansomHub ont mené des attaques contre au moins 210 organisations depuis février, ont averti les autorités américaines.

RansomHub fonctionne sur un modèle d’infrastructure en tant que service, où les affiliés utilisent son infrastructure pour compromettre une cible et crypter ses systèmes, exigeant une rançon pour fournir une clé de décryptage.

Comme c’est de plus en plus courant, les affiliés de RansomHub exfiltrent également des données et menacent de les rendre publiques si la rançon n’est pas payée.

Différents affiliés utilisent diverses méthodes pour exfiltrer des données, ont déclaré le FBI, la Cybersecurity and Infrastructure Security Agency (CISA) et deux autres agences dans un avis commun. (document pdf).

Les affiliés ont ciblé un large éventail de secteurs, notamment l’eau, l’informatique, le gouvernement, la santé, les services d’urgence, l’agriculture, les services financiers, la fabrication critique, le transport et les infrastructures de communication critiques, selon l’avis.

Les cibles comprenaient la coopérative de crédit Patelco, la chaîne de pharmacies Rite Aid, la maison de vente aux enchères Christie’s, le fournisseur de télécommunications Frontier Communications et le géant des services pétroliers Halliburton, qui a révélé dans un dossier SEC qu’il avait été compromis le 21 août.

Le gang, anciennement connu sous le nom de Cyclops et Knight, « s’est imposé comme un modèle de service efficace et réussi », ont déclaré les agences.

RansomHub sur les traces de Lockbit et BlackCat

La croissance rapide de RansomHub est en partie due à la disparition de deux groupes majeurs plus tôt cette année, ont-ils déclaré : LockBit, qui a été perturbé par une action policière internationale en février, et AlphV, également connu sous le nom de BlackCat, qui a fermé ses portes en mars.

Les fournisseurs d’infrastructures de ransomware reçoivent normalement le paiement avant d’envoyer la part due à l’affilié qui a mené l’attaque, mais les affiliés doivent faire confiance au fournisseur pour leur envoyer leur part.

En mars, ce système a pris un coup avec la disparition du gang AlphV, également connu sous le nom de BlackCat, qui aurait reçu un paiement de 22 millions $ du fournisseur de paiements de soins de santé américain Change Healthcare avant de disparaître sans payer son affilié.

RansomHub permet aux affiliés de percevoir eux-mêmes les paiements, ce qui rend l’opération d’autant plus attrayante pour les anciens affiliés d’AlphV, ont déclaré des experts en sécurité.

Les agences américaines ont recommandé des mesures d’atténuation, notamment la correction des vulnérabilités qui ont déjà été exploitées dans la nature et l’utilisation de l’authentification à deux facteurs.

Elles ont déconseillé de payer des rançons car cela ne garantit pas la récupération des fichiers et « le paiement peut également encourager les adversaires à cibler d’autres organisations ».

Matthew Broersma, Silicon UK