Como Preparar Um Delicioso Bolo de Chocolate

O que é o RansomHub?

Apesar de ter surgido no início deste ano, o RansomHub já é considerado um dos grupos de ransomware mais prolíficos que existem.

Ele opera como um serviço de ransomware (RaaS), o que significa que um núcleo central do grupo cria e mantém o código de ransomware e a infraestrutura, e aluga para outros cibercriminosos que atuam como afiliados.

Como o RansomHub se tornou tão importante tão rapidamente?

Sem dúvida, o RansomHub se beneficiou da interrupção causada ao grupo LockBit pelas autoridades em fevereiro de 2024. Uma operação internacional contra o LockBit não apenas resultou na apreensão de alguns sites do grupo e ferramentas de descriptografia, mas também alertou os afiliados de que estavam sendo observados.

Muitos afiliados que anteriormente usavam criptografadores do grupo LockBit mudaram para grupos concorrentes de RaaS. Entre eles estava o RansomHub, que, segundo o relatório da Check Point, foi responsável por “um aumento significativo” nos ataques em junho, com quase 80 novas vítimas.

Então, dificultar a vida do LockBit não resolveu o problema do ransomware…

…só o empurrou para outro lugar, sim.

Mas o RansomHub também recrutou ativamente afiliados de outras operações de ransomware como serviço. Por exemplo, assumiu sob sua asa os antigos afiliados da ALPHV/BlackCat depois que esse grupo enganou seus parceiros.

Então estou supondo que o RansomHub funciona da mesma forma que outros ransomwares?

Na maioria das vezes. Os invasores entram em sua organização, extraem dados sensíveis e depois criptografam seus sistemas. Um dia você entra no escritório e encontra uma nota eletrônica de resgate exigindo que você pague um resgate por uma ferramenta de descriptografia para recuperar seus arquivos embaralhados e para evitar que o grupo publique os arquivos na dark web.

Os pesquisadores acreditam que a origem do RansomHub pode ser rastreada até um ransomware mais antigo chamado Knight. O código-fonte do Knight foi oferecido à venda em fóruns de hackers em fevereiro de 2024 – e eles têm várias semelhanças.

Você está sugerindo que os grupos de ransomware são preguiçosos…

Não são todos os programadores? Se alguém já escreveu um código que faz o trabalho proficientemente, muitas vezes não faz sentido reinventar a roda. O próprio Knight foi baseado em um ransomware anterior chamado Cyclops.

Sabemos onde o grupo RansomHub está baseado?

Assim como todos esses grupos, é complicado ser definitivo. No entanto, há algumas pistas em declarações que o grupo fez online.

Em seu site, na seção “Sobre”, o RansomHub diz que não permite ataques na “CIS, Cuba, Coreia do Norte e China”. Portanto, não seria surpreendente descobrir que o grupo RansomHub está predominantemente baseado em um país que seja amigo da Rússia ou, de fato, na Rússia.

Bem, isso é uma surpresa. Por que eles querem impedir ataques contra seu próprio país e seus aliados?

Porque os cibercriminosos terão uma vida muito mais estressante se as autoridades locais estiverem dispostas a fechar os olhos apenas se empresas de nações inimigas estiverem sendo hackeadas.

Então, quem o RansomHub afirmou ter atacado?

Mais recentemente, ele disse que estava por trás de um ataque contra o Departamento de Saúde da Flórida, alegando ter publicado 100 GB de dados roubados da organização após não receber um pagamento de resgate. Outros ataques de alto perfil ligados ao RansomHub incluem um na casa de leilões Christie’s.

Um dos mais notáveis ​​da vítimas do RansomHub, no entanto, foi a Change Healthcare.

Espera aí, eu pensei que a Change Healthcare foi atacada pelo grupo ALPHV/BlackCat?

Bem lembrado. O ALPHV/BlackCat realmente lançou um ataque de ransomware à Change Healthcare em fevereiro deste ano, prejudicando seriamente a capacidade das farmácias de cumprir os pedidos de pacientes que desejavam pagar por suas prescrições médicas através de seus seguros.

Mas os problemas da Change Healthcare não pararam por aí. Em abril, o RansomHub também começou a publicar informações médicas e financeiras sensíveis aparentemente obtidas do provedor de tecnologia de saúde, e ameaçando publicá-las a menos que resgates fossem pagos pelas seguradoras.

Esses caras parecem sérios sobre fazer tudo que podem para ganhar dinheiro…

Ninguém deveria se surpreender. Em seu manifesto online, o RansomHub diz:

“Nossos membros da equipe são de diferentes países e não estamos interessados em mais nada, estamos interessados apenas em dólares.”

Então, que ação minha empresa deve tomar para se proteger contra o RansomHub?

A coisa mais importante a fazer é garantir que você tenha defesas fortalecidas no lugar antes de um ataque de ransomware ocorrer, limitando qualquer impacto potencial em seus negócios.

Além disso, seria prudente seguir nossas recomendações sobre como proteger sua organização de outros ransomwares.

Dicas incluem:

– Fazer backups seguros externos.
– Executar soluções de segurança atualizadas e garantir que seus computadores estejam protegidos com as últimas correções de segurança contra vulnerabilidades.
– Restringir a capacidade de um invasor se espalhar lateralmente por sua organização por meio de segmentação de rede.
– Usar senhas únicas difíceis de quebrar para proteger dados e contas sensíveis, além de habilitar autenticação de vários fatores.
– Criptografar dados sensíveis sempre que possível.
– Reduzir a superfície de ataque desabilitando funcionalidades que sua empresa não precisa.
– Educar e informar os funcionários sobre os riscos e métodos usados pelos cibercriminosos para lançar ataques e roubar dados.

Mantenha-se seguro e não permita que sua organização seja a próxima vítima do RansomHub.

Nota do Editor: As opiniões expressas neste artigo do autor convidado são exclusivamente do colaborador e não refletem necessariamente as da Tripwire.