​Depuis leur apparition en février 2024, les affiliés RansomHub ransomware ont violé plus de 200 victimes d’un large éventail de secteurs d’infrastructure critiques aux États-Unis.

Cette opération relativement nouvelle de ransomware en tant que service (RaaS) extorque les victimes en échange de la non-fuite de fichiers volés et vend les documents au plus offrant en cas d’échec des négociations. Le groupe de ransomwares se concentre sur l’extorsion basée sur le vol de données plutôt que sur le cryptage des fichiers des victimes, bien qu’ils aient également été identifiés comme des acheteurs potentiels du code source du ransomware Knight.

Depuis le début de l’année, RansomHub a revendiqué la responsabilité de la violation de la coopérative de crédit américaine à but non lucratif Patelco, de la chaîne de pharmacies Rite Aid, de la maison de vente aux enchères Christie’s, du fournisseur de télécommunications américain Frontier Communications et du géant des services pétroliers Halliburton. Frontier Communications a par la suite averti plus de 750 000 clients que leurs informations personnelles avaient été exposées lors d’une violation de données.

Le site de fuite de données de RansomHub a également divulgué des données de santé volées après la fermeture de l’opération de ransomware BlackCat/ALPHV.

Un avis conjoint publié aujourd’hui par le FBI, la CISA, le Centre d’analyse et de partage d’informations multi-États (MS-ISAC) et le ministère de la Santé et des Services sociaux (HHS) confirme également que les acteurs de la menace ciblent leurs victimes dans des attaques de double extorsion.

Les agences fédérales ont déclaré que RansomHub (anciennement connu sous le nom de Cyclope et Knight) « s’est imposé comme un modèle de service efficace et performant (attirant récemment des affiliés de haut niveau d’autres variantes importantes telles que LockBit et ALPHV). »

« Depuis sa création en février 2024, RansomHub a crypté et exfiltré les données d’au moins 210 victimes représentant les secteurs de l’eau et des eaux usées, des technologies de l’information, des services et installations gouvernementaux, des soins de santé et de la santé publique, des services d’urgence, de l’alimentation et de l’agriculture, des services financiers, installations commerciales, secteurs critiques de la fabrication, des transports et des infrastructures critiques de communication », ajoute l’avis.

Les quatre agences auteurs ont conseillé à network defenders de mettre en œuvre les recommandations de l’avis d’aujourd’hui afin de réduire le risque et l’impact des attaques de ransomware RansomHub.

Ils doivent se concentrer sur la correction des vulnérabilités déjà exploitées dans la nature et utiliser des mots de passe forts et une authentification multifacteur (MFA) pour la messagerie Web, le VPN et les comptes liés aux systèmes critiques. Il est également recommandé de maintenir les logiciels à jour et d’effectuer des évaluations de vulnérabilité en tant qu’élément standard des protocoles de sécurité.

Les quatre agences fournissent également des indicateurs de compromission de RansomHub (IOC) et des informations sur les tactiques, techniques et procédures (TTP) de leurs affiliés identifiées lors des enquêtes du FBI aussi récemment qu’en août 2024.

« Les organisations auteurs n’encouragent pas le paiement d’une rançon, car le paiement ne garantit pas que les fichiers des victimes seront récupérés », ont ajouté les agences fédérales.

« En outre, le paiement peut également inciter les adversaires à cibler d’autres organisations, encourager d’autres acteurs criminels à se livrer à la distribution de ransomwares et/ou financer des activités illicites. »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *