600 víctimas en un año: RansomHub es el nuevo líder en el campo de los ataques de extorsión

En 2024, un nuevo actor apareció rápidamente en la escena del cibercrimen: el grupo RansomHub, que ya ha atacado a más de 600 organizaciones en todo el mundo. Según un estudio de Group-IB, RansomHub llenó el vacío dejado en el sector del ransomware tras las recientes interrupciones en las actividades de ALPHV y LockBit.

Los expertos señalan que RansomHub opera bajo el modelo de ransomware-as-a-service (RaaS), atrayendo activamente socios en foros clandestinos como RAMP. Su principal estrategia ha sido reclutar hackers que anteriormente trabajaban para otros grupos, lo que ha permitido a RansomHub aumentar rápidamente el alcance de sus ataques.

El análisis del código malicioso ha revelado que el grupo probablemente adquirió su software de Knight (Cyclops), otra organización cibercriminal conocida. El uso de soluciones preexistentes ha acelerado el despliegue de los ataques, y la multiplataforma del programa permite cifrar sistemas en Windows, ESXi, Linux y FreeBSD, ampliando la lista de posibles víctimas.

RansomHub se distingue por su alto nivel de organización. Utiliza tanto técnicas probadas de intrusión, como ataques a servicios VPN y fuerza bruta de contraseñas, como métodos avanzados, incluyendo la explotación de vulnerabilidades de día cero. En su arsenal de herramientas se encuentra PCHunter, que les permite eludir mecanismos de seguridad.

La táctica de los ataques incluye un minucioso reconocimiento de la red de la víctima y la apropiación de los datos más valiosos. Los operadores se infiltran en la infraestructura, toman el control de nodos críticos —almacenamiento de archivos, copias de seguridad, servidores— y transfieren información confidencial a servidores remotos. Para la transmisión de datos, los delincuentes utilizan FileZilla y luego inician el proceso de cifrado en los hosts comprometidos.

Tras completar el ataque, RansomHub extorsiona a la víctima, exigiendo un rescate por la descifrado de los datos y para evitar su publicación. El ransomware tiene la capacidad de detener máquinas virtuales, eliminar copias sombra de archivos y borrar registros de eventos, lo que dificulta la investigación del incidente.

Uno de los ataques más destructivos de RansomHub se llevó a cabo en tan solo 14 horas. Los atacantes aprovecharon una vulnerabilidad en el firewall de Palo Alto ( CVE-2024-3400 ) para obtener acceso inicial, luego utilizaron fuerza bruta para descifrar credenciales del cliente VPN. Posteriormente, explotaron vulnerabilidades antiguas en Windows ( CVE-2021-42278 y CVE-2020-1472 ), obteniendo control total de la red.

Los expertos destacan que la efectividad de RansomHub ha sido posible debido a la falta de actualización oportuna de los sistemas operativos. Si una empresa es víctima de un ataque a través de una vulnerabilidad que fue corregida hace varios años, la responsabilidad recae exclusivamente en su propia negligencia en materia de ciberseguridad. En este caso, es absurdo trasladar la culpa a los proveedores de software.

El crecimiento de la actividad de RansomHub es una muestra de la continua evolución de las amenazas cibernéticas. Las organizaciones deben reforzar sus medidas de seguridad, actualizar regularmente su software y minimizar la superficie de ataque para no convertirse en una víctima más de RansomHub y otros grupos de ransomware.