Actualización del Ransomware RansomHub

Un nuevo ataque del grupo de ransomware Ransomhub sale a la luz, afectando a una aerolínea mexicana.
RansomHub funciona bajo el modelo Ransomware-as-a-Service (RaaS), mediante el cual afiliados de diversos países pueden acceder a sus herramientas a cambio de una parte del rescate obtenido.
Los afiliados retienen el 90% de los pagos, mientras que el grupo principal se queda con el 10%. Esta estructura ha facilitado una rápida expansión de sus actividades, consolidándolos como uno de los grupos más activos en el ámbito del cibercrimen. [4]
Llegando a ser responsable de casi el 20% de todas las víctimas de ransomware en septiembre de 2024 a nivel mundial, según un informe de Check Point, este cambio en el panorama del ransomware está motivado por los vacíos dejados por los actores desmantelados tras operaciones policiales exitosas. Una de las características clave de RansomHub es su capacidad de encriptación a distancia, lo que permite a sus miembros aprovechar dispositivos vulnerables y expuestos, disminuyendo el riesgo de ser detectados y aumentando la probabilidad de éxito en los ataques.[4]
A través de una publicación en su sitio web en la dark web, los responsables afirmaron haber extraído más de 3 terabytes de información confidencial. Y aunque la victima reconoció el ataque el 18 de octubre y aseguró que sus operaciones continuaban con normalidad, la situación se intensificó. [1]

Publicación en la deep web del sitio de RansomHub.

Según la información disponible, el grupo de ransomware logró acceder completamente a la infraestructura de la víctima, cifrando datos esenciales y extrayendo una cantidad significativa de información confidencial, incluyendo informes financieros, documentos de ventas, registros contables e información relacionada con accionistas. [2]
 
Además de los datos corporativos, los ciberdelincuentes comprometieron información personal de empleados, inversionistas y clientes, como direcciones, contactos, escaneos de pasaportes, contraseñas, credenciales de acceso y bases de datos.
Incluyendo, según ellos, pruebas de colaboración entre empleados de los aeropuertos y cárteles del crimen organizado en México. [4]

RansomHub, sucesor de ALPHV, asegura contar con evidencia de cárteles en aeropuertos.

El grupo RansomHub ha exigido el pago de un rescate, con un plazo límite hasta el 5 de noviembre de 2024. En caso de no cumplir con la demanda, los atacantes amenazan con hacer pública toda la información sustraída. Por su parte, la victima ha informado que logró restablecer sus servicios de manera regular después de un período de 15 días de afectaciones. [2]

Microsoft señaló que “RansomHub sigue siendo una de las cargas útiles más empleadas por algunos de los operadores de ransomware más activos, así como por otros grupos motivados por fines económicos, como Manatee Tempest y Storm-1874”. Además, destacó que varios otros actores de amenazas monitoreados por la empresa siguen utilizando el malware RansomHub en sus ataques. [1]

La filtración de datos incluye varios documentos clave: [2]

1. Auditorías internas: Se revelaron auditorías de aeropuertos como Monterrey, Ciudad Juárez y Mazatlán entre 2016 y 2020, detallando controles internos y posibles vulnerabilidades en los procesos de la empresa.
2. Información financiera: Los documentos filtrados incluyen estados financieros y conciliaciones bancarias hasta 2020, proporcionando detalles sobre ingresos, costos y balances de varios aeropuertos.
3. Contratos y Recursos Humanos: Se divulgaron contratos de servicios y datos personales, incluyendo nóminas y acuerdos con proveedores, exponiendo a empleados, proveedores y terceros a riesgos legales.
4. Documentación legal: Los archivos también incluyen juicios laborales y contratos legales relacionados con el aeropuerto de Torreón, lo que podría afectar la imagen pública de la víctima por posibles disputas legales.
5. Procesos de Auditoría SOX: La filtración de documentos relacionados con la Ley Sarbanes-Oxley revela controles internos orientados a proteger a los inversionistas, pero su exposición puede dañar la confianza de los socios y abrir brechas de seguridad.
6. Seguridad y mantenimiento: Se divulgó información sobre contratos de mantenimiento y seguridad privada, lo que pone en riesgo la infraestructura operativa y la seguridad física de los aeropuertos.
7. Datos de usuarios y contraseñas: Se filtraron detalles sobre usuarios de HSBC y transferencias bancarias, lo que podría comprometer la seguridad financiera de la víctima.
8. Aspectos confidenciales y de seguridad: La filtración incluye datos biométricos y registros de acceso, exponiendo información sensible de empleados y vulnerando la privacidad y la ciberseguridad de la empresa.

Vectores de ataque de RansomHub:

• Phishing (Correo Electrónico Malicioso):

Los atacantes envían correos electrónicos con enlaces o archivos adjuntos maliciosos (por ejemplo, macros en documentos de Office o scripts maliciosos en archivos comprimidos) para engañar a las víctimas y lograr que ejecuten el ransomware.
Recomendacion:

1. Capacitación en seguridad para el personal
2. Implementación de soluciones de filtrado de correo electrónico

• Explotación de Vulnerabilidades de Software (RCE):

Puede explotar vulnerabilidades conocidas en aplicaciones o servicios desactualizados. Por ejemplo, vulnerabilidades en software comúnmente utilizado (como Microsoft Exchange, VNC, VPNs, etc.) pueden ser aprovechadas para realizar una ejecución remota de código (RCE) y desplegar el malware.
Recomendaciones:

1. Mantenimiento de actualizaciones de software
2. Segmentación de redes y uso de firewalls

• Acceso Inicial (Acceso por Contraseña):

Los atacantes pueden intentar obtener acceso a través de credenciales débiles o por medio de ataques de fuerza bruta o password spraying para obtener acceso a cuentas privilegiadas dentro de la red de la víctima.
Recomendaciones:

1. Autenticación multifactor (MFA)
2. Políticas de contraseñas fuertes y gestión de cambios regulares

• Explotación de Servicios Públicos o Puertos Abiertos:

Pueden aprovechar configuraciones erróneas en sistemas públicos o puertos abiertos, como RDP (Remote Desktop Protocol), o puertos de bases de datos no asegurados, para acceder a las redes de las víctimas.
Recomendaciones:

1. Desactivación de servicios innecesarios
2. Uso de VPN para acceso remoto

• Distribución de Malware a través de redes de distribución (Botnets):

Podría aprovechar redes de bots o botnets ya comprometidas para distribuir su ransomware. Los atacantes pueden usar estos bots para descargar y ejecutar el malware en múltiples sistemas comprometidos.

Recomendaciones:

1. Minimizar la exposición a internet
2. Implementación de Sistemas de Detección de Intrusiones (IDS/IPS)

Taxonomia MITRE:

Vector	Taxonomia
Acceso Inicial:	Phishing (T1566), Explotación de vulnerabilidades (T1071).
Ejecución:	PowerShell, Scripts (T1059).
Persistencia:	Modificaciones en el registro (T1547), Tareas programadas (T1053).
Escalado de privilegios:	Explotación de vulnerabilidades (T1068).
Evasión de defensa:	Ofuscación de archivos (T1027), Eliminación de indicadores (T1070).
Acceso a credenciales:	Fuerza bruta (T1110), Dumping de credenciales (T1003).
Descubrimiento:	Escaneo de red (T1046), Información del sistema (T1082).
Movimiento lateral:	RDP (T1076).
Impacto:	Cifrado de datos (T1486), Destrucción de datos (T1485).
Recolección:	Repositorios de información (T1213).

Indicadores de compromiso:

IoC	Tipo
http://82[.]147[.]85[.]52/Loader[.]exe	URL
9479a5dc61284ccc3f063ebb38da9f63400d8b25d8bca8d04b1832f02fac24de	FileHash-SHA256
330730d65548d621d46ed9db939c434bc54cada516472ebef0a00422a5ed5819	FileHash-SHA256
feab413f86532812efc606c3b3224b7c7080ae4aa167836d7233c262985f888c	FileHash-SHA256
07ab218d5c865cb4fe78353340ab923e24a1f2881ec7206520651c5246b1a492	FileHash-SHA256
8[.]211[.]2[.]97	IPv4
45[.]95[.]67[.]41	IPv4
45[.]134[.]140[.]69	IPv4
89[.]23[.]96[.]203	IPv4
http://ransomxifxwc5eteopdobynonjctkxxvap77yqifu2emfbecgbqdw6qd[.]onion	URL
193[.]233[.]254[.]21	IPv4
193[.]124[.]125[.]78	IPv4
193[.]106[.]175[.]107	IPv4
188[.]34[.]188[.]7	IPv4
45[.]135[.]232[.]2	IPv4
82[.]147[.]85[.]52	IPv4
188[.]34[.]188[.]7	IPv4
45[.]135[.]232[.]2	IPv4
eec3a55b1599eee16a47954e1bb230ec99db5f96	FileHash-SHA1
ee682488fe843d8bb826854d23b2cea73fad4969	FileHash-SHA1
b67b17b8930c872da4347be931fb9b27c624f0cb	FileHash-SHA1
5f27d44bfdd918e17605cdef3883c8070325cdfb	FileHash-SHA1
63c31bcda20194821d142a0ed131eb32649aa32e	FileHash-SHA1
ada3a90f022fbdaee50245ecdaab6e5756d18d0d	FileHash-SHA1
261535c91df592071adb5cdbf255566c9ce019dc	FileHash-SHA1
82793d93d987abb357809f069420d17a25a59f26	FileHash-SHA1
b312a5003d6919d5985630dbd655d306a318ce13	FileHash-SHA1
06156f7e42dc18f36c64855edb8adbb892cac0c0	FileHash-SHA1
a7ca950c6dadd02ab8fafdba8f984266fc2f9b7c	FileHash-SHA1
189c638388acd0189fe164cf81e455e41d9629d6	FileHash-SHA1
28fd3345d82da0cdb565a11c648aff196f03d770	FileHash-SHA1
2ba12cd5e44839ea67de8a07734a4e0303e5a3f8	FileHash-SHA1
bd886d47719d0881fcd7001713169215996f530f	FileHash-SHA1
477293f80461713d51a98a24023d45e8	FileHash-MD5
3034b61a52ddc30eabdb96f49334453b	FileHash-MD5
a1dd2dff2859b22bcf6a3a4d868a2dbc	FileHash-MD5
0cd4b7a48220b565eb7bd59f172ea278	FileHash-MD5
392880023da7df0f504056be9e58d141	FileHash-MD5
09e382be8dc54551cbfc60557d5a70b0	FileHash-MD5
cfb2286b45544fdb23569f59c02e3d58	FileHash-MD5
19209b41db4a3d67e2c2c1962d91bd25	FileHash-MD5
8c8916d8ea8c44e383d55e919a9f989f	FileHash-MD5
bd1efe953875f35cc8b787c0980e8a75	FileHash-MD5
19ebefbb1e4cb0fc5ce21b954f52e1bc	FileHash-MD5
eaa6160cf4ed6b7d8d68eeb42c0362d5	FileHash-MD5
ba8763fc59d73b28b070cb6eb393aa83	FileHash-MD5
0cd57e68236aaa585af75e3be9d5df7d	FileHash-MD5
407dcc63e6186f7acada055169b08d81	FileHash-MD5
57556d30b4d1e01d5c5ca2717a2c8281	FileHash-MD5
676259a72f3f770f8ad20b287d62071b	FileHash-MD5
da3ba26033eb145ac916500725b7dfd5	FileHash-MD5
de8e14fdd3f385d7c6d34b181903849f	FileHash-MD5
f17ceae8c5066608b5c87431bac405a9	FileHash-MD5
ff1eff0e0f1f2eabe1199ae71194e560	FileHash-MD5
fb9f9734d7966d6bc15cce5150abb63aadd4223924800f0b90dc07a311fb0a7e	FileHash-SHA256
02e9f0fbb7f3acea4fcf155dc7813e15c1c8d1c77c3ae31252720a9fa7454292	FileHash-SHA256
34e479181419efd0c00266bef0210f267beaa92116e18f33854ca420f65e2087	FileHash-SHA256
7539bd88d9bb42d280673b573fc0f5783f32db559c564b95ae33d720d9034f5a	FileHash-SHA256
8f59b4f0f53031c555ef7b2738d3a94ed73568504e6c07aa1f3fa3f1fd786de7	FileHash-SHA256
ea9f0bd64a3ef44fe80ce1a25c387b562a6b87c4d202f24953c3d9204386cf00	FileHash-SHA256
104b22a45e4166a5473c9db924394e1fe681ef374970ed112edd089c4c8b83f2	FileHash-SHA256
2f3d82f7f8bd9ff2f145f9927be1ab16f8d7d61400083930e36b6b9ac5bbe2ad	FileHash-SHA256
36e5be9ed3ec960b40b5a9b07ba8e15d4d24ca6cd51607df21ac08cda55a5a8e	FileHash-SHA256
595cd80f8c84bc443eff619add01b86b8839097621cdd148f30e7e2214f2c8cb	FileHash-SHA256
7114288232e469ff368418005049cf9653fe5c1cdcfcd63d668c558b0a3470f2	FileHash-SHA256
e654ef69635ab6a2c569b3f8059b06aee4bce937afb275ad4ec77c0e4a712f23	FileHash-SHA256
285493c54c35e3b571e28fc0816baa4b3833329eeec3649601dd6385a60c8d84	FileHash-SHA256
8[.]211[.]2[.]97	IPv4
samuelelena[.]co	Domain
12301230[.]co	Domain
i[.]ibb[.]com	Hostname
40031[.]co	Domain
0098c79e1404b4399bf0e686d88dbf052269a302	FileHash-SHA1
82[.]147[.]85[.]52	IPV4
3e2272b916da4be3c120d17490423230ab62c174	FileHash-SHA1
transomhub[.]com	Domain

Recomendaciones

• Auditar herramientas de acceso remoto. (NIST CSF, 2024)
• Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
• Limitar estrictamente el uso de los protocolos SMB y RDP.
• Identificar los procesos y activos críticos de la
• empresa.
• Realizar auditorías de seguridad. (NIST CSF, 2024)
• Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024) 
• Tener filtros de correo electrónico y spam.
• Gestionar las vulnerabilidades de los dispositivos
• Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
• Realizar copias de seguridad, respaldos o back-ups constantemente.
• Identificar los sistemas de información externos a los que se conecta su empresa.
• Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
• Revisar continuamente los privilegios de los usuarios.
• Tener una solución EDR robusta, configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
• Habilitar la autenticación multifactor.

El marco está organizado en cinco funciones clave proporcionado por la NIST: identificar, proteger, detectar, responder y recuperar:

• National Institute of Standards and Technology. (2022, febrero 24). Guía rápida para comenzar con la gestión de riesgos cibernéticos: Ransomware [PDF]. U.S. Department of Commerce. https://csrc.nist.gov/files/pubs/other/2022/02/24/getting-started-with-cybersecurity-risk-management/final/docs/quick-start-guide--ransomware.spa.pdf

Referencias

1. The Record. (2024, noviembre 5). RansomHub: the gang behind the attack on Mexican airport operator. The Record. https://therecord.media/ransomhub-gang-behind-attack-mexican-airport-operator
2. Publimetro. (2024, noviembre 5). Megafiltración amenaza aeropuertos y a millones de pasajeros en México. Publimetro. https://www.publimetro.com.mx/noticias/2024/11/05/hackeo-a-megafiltracion-amenaza-aeropuertos-y-a-millones-de-pasajeros-en-mexico/
3. Índice Político. (2024, noviembre 5). Filtración masiva pone en riesgo la seguridad de aeropuertos y pasajeros en México. Índice Político. https://indicepolitico.com/hackeo-a -filtracion-masiva-pone-en-riesgo-la-seguridad-de-aeropuertos-y-pasajeros-en-mexico
4. Publimetro. (2024, octubre 25). RansomHub, el grupo que filtrará nexos de cárteles con aeropuertos de México el 2 de noviembre. Publimetro. https://www.publimetro.com.mx/noticias/2024/10/25/ransomhub-grupo-que-filtrara-nexos-de-carteles-con-aeropuertos-de-mexico-el-2-de-noviembre/

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios