¿Quién es RansomHub? El ascenso del nuevo jugador del ransomware que amenaza a empresas y gobiernos

El panorama del ransomware está experimentando cambios significativos, marcado por el auge de nuevos actores como RansomHub, que están ganando terreno, mientras que grupos que antes lideraban este ámbito, como Lockbit, registran un declive notable. Esta amenaza continúa siendo la más común en el entorno cibernético, impulsada por redes criminales motivadas económicamente que emplean estrategias cada vez más sofisticadas, como los modelos de ransomware como servicio (RaaS) y la técnica de doble extorsión.

RansomHub, que surgió a principios de 2024, se ha posicionado rápidamente como uno de los grupos de ransomware más activos. Su modelo de ransomware como servicio (RaaS) permite a su núcleo central desarrollar y mantener el código y la infraestructura del ransomware, alquilándolos a afiliados que ejecutan los ataques. Este rápido ascenso se atribuye en parte al impacto de las acciones internacionales contra LockBit en febrero de 2024, que incluyeron la incautación de sitios web y herramientas del grupo, así como advertencias a sus afiliados. Esto llevó a muchos antiguos afiliados de LockBit a unirse a RansomHub.

En México, durante 2024, RansomHub ha logrado comprometer a diversas organizaciones importantes, incluyendo a Reliv, la Consejería Jurídica de la Presidencia (CJEF) del Gobierno de México, el Grupo Aeroportuario Centro Norte (OMA), Mabe, Medicato, BPJaguar y la Universidad Nacional Autónoma de México (UNAM), pero a nivel mundial tiene alrededor de 550 víctimas, cifra que sigue en aumento.

Como se mencionó, RansomHub opera bajo un modelo de ransomware como servicio (RaaS), donde los afiliados deben adherirse a los acuerdos establecidos durante las negociaciones. El incumplimiento de estas reglas puede resultar en la expulsión y la terminación de la colaboración. Los afiliados reciben el 90 % de los rescates obtenidos, mientras que el grupo principal retiene el 10 %, una proporción más lucrativa que el estándar del mercado, que generalmente oscila entre el 70 % y el 80 %. Este atractivo porcentaje probablemente esté atrayendo a afiliados experimentados de otras plataformas, contribuyendo al aumento constante de infecciones y víctimas relacionadas con RansomHub, que mes a mes supera sus propios récords de ataques exitosos.

El grupo no se centra en la tasa de pago, sino en el volumen de ataques. A medida que más afiliados se suman, se generan más incidentes, lo que incrementa los ingresos con el tiempo. Incluso si solo una de cada diez víctimas paga, la operación sigue siendo rentable, con ganancias millonarias. Aunque la tasa de pago de rescates es baja (solo el 15.3% de las víctimas han pagado), la estrategia del grupo prioriza el volumen de ataques, dando mayor importancia a la cantidad de incidentes que a los pagos individuales.

De acuerdo con su sección “Acerca de” en su portal de filtración de datos, RansomHub está conformado por actores de amenazas de distintas partes del mundo, unidos por el objetivo común de obtener ganancias económicas. La banda establece restricciones explícitas, prohibiendo ataques a ciertos países y organizaciones sin fines de lucro.

En este sentido, RansomHub declara que excluye como objetivos a países como Rusia, Cuba, Corea del Norte y China. Pese a proyectarse como una comunidad internacional de ciberdelincuentes, su forma de operar muestra claras similitudes con los grupos de ransomware de origen ruso. Esto es evidente tanto en su enfoque hacia naciones aliadas de Rusia como en las coincidencias con otros grupos rusos en la elección de sus víctimas.

Desde su inicio en febrero, la unidad de investigación de SILIKN ha monitoreado de cerca las actividades de RansomHub, obteniendo datos reveladores sobre el perfil de las organizaciones afectadas. Se estimó que los ingresos promedio de las víctimas ascienden a 390 millones de dólares, con una mediana de 7.9 millones de dólares. Además, el 55.5 % de las empresas atacadas son organizaciones con menos de 100 empleados.

En cuanto a sus herramientas y técnicas podemos decir que el ransomware de RansomHub está desarrollado en Golang y C++, al igual que el utilizado por otros grupos, lo que podría señalar una tendencia emergente en este ámbito. Su ransomware está diseñado para atacar sistemas Windows, Linux y ESXi, y se distingue por su velocidad de cifrado superior en comparación con otras soluciones de ransomware como servicio. De igual forma, su malware tiene la capacidad de cifrar los datos antes de exfiltrarlos.

Es importante señalar que, al parecer, RansomHub tiene conexiones con el grupo ALPHV o podría ser una nueva marca originada de éste, debido a las similitudes en las herramientas y los procedimientos que emplean. Además, el grupo cibercriminal asegura a las víctimas que proporcionará un descifrador gratuito si el afiliado responsable no lo entrega tras el pago o si se ataca a una organización excluida de sus objetivos.

RansomHub recluta principalmente a sus afiliados a través de foros en la dark web, especialmente donde la mayoría de los participantes son hablantes de ruso, y en los que el grupo publica regularmente actualizaciones y directrices sobre cómo unirse a su programa de afiliados. En los últimos tres meses, el grupo ha hecho varios anuncios clave, incluyendo uno el 1 de mayo de 2024, cuando presentó mejoras en la versión VIP de su RaaS, que incluían nuevas funciones para la modificación de archivos y métodos de cifrado avanzados.

RansomHub detalló las reglas para unirse al grupo, destacando que la reputación en el foro, la participación en el programa de verificación de garantía de la alianza y otros requisitos son esenciales para obtener la membresía. Además, a partir del 21 de junio de 2024, los cibercriminales que no cuenten con una cuenta en el foro para verificar su identidad deberán realizar un depósito de $5,000 USD. También enfatizó que compartir muestras o capturas de pantalla de los paneles personales de los afiliados con terceros está estrictamente prohibido, lo que podría resultar en la desactivación del panel y la pérdida de los depósitos.

Es crucial mantenernos alertas, ya que, aunque RansomHub es uno de los grupos de ransomware más peligrosos y de mayor crecimiento en los últimos meses, no es el único. Existen otros grupos cibercriminales de ransomware igualmente amenazantes, como 8Base, Noescape, Hunters, Akira, Play, Trigona y los remanentes o asociados de LockBit, que continúan operando activamente y ya conocen los sistemas gubernamentales y empresariales de México.

Los atacantes de ransomware, a diferencia de las empresas legítimas, no revelan sus identidades ni estrategias, pero dejan información útil que los expertos pueden analizar para mitigar las amenazas, como lo hace SILIKN. Para fortalecer la resiliencia contra el ransomware, las organizaciones deben adoptar estrategias de defensa amplias, como realizar copias de seguridad periódicas de datos, capacitar a los empleados sobre seguridad y phishing, gestionar parches y actualizaciones de software, segmentar redes para proteger sistemas críticos, aplicar control de acceso con el principio de mínimo privilegio, usar soluciones avanzadas de filtrado de correo electrónico y seguridad web, proteger endpoints con herramientas de detección y respuesta, tener un plan de respuesta a incidentes específico para ransomware, y realizar auditorías de seguridad y pruebas de penetración de forma periódica.

* Fundador de SILIKN | Emprendedor Tecnológico | (ISC)² Certified in Cybersecurity℠ (CC) | Cyber Security Certified Trainer (CSCT™) | EC-Council Ethical Hacking Essentials (EHE) | EC-Council Certified Cybersecurity Technician (CCT) | Cisco Ethical Hacker | Líder del Capítulo Querétaro de OWASP.

Twitter: https://twitter.com/silikn

Instagram: https://www.instagram.com/silikn

YouTube: https://www.youtube.com/@silikn7599