Nel panorama sempre mutevole della cybersecurity, il 2024 ha visto l’ascesa di RansomHub, una nuova banda ransomware-as-a-service (RaaS) che ha rapidamente conquistato una posizione dominante. Gli esperti di ESET hanno analizzato a fondo questa realtà emergente, rivelando dettagli sulla sua struttura, sulle connessioni con gruppi affermati e sull’uso innovativo di strumenti per bypassare le difese delle vittime.
Un ecosistema in evoluzione
La scomparsa di due giganti del ransomware, LockBit e BlackCat, ha lasciato un vuoto che RansomHub ha saputo colmare. Attiva da febbraio 2024, la banda ha attirato affiliati grazie a una proposta unica: gli affiliati ricevono il 100% del riscatto direttamente sul proprio wallet, con l’aspettativa di condividere volontariamente il 10% con gli operatori. Questa formula insolita ha incentivato la collaborazione e favorito l’espansione del gruppo.
EDRKillShifter: l’arma segreta
Uno degli sviluppi più significativi introdotti da RansomHub è stato EDRKillShifter, un malware progettato per disattivare le soluzioni di sicurezza Endpoint Detection and Response (EDR). Questo strumento, sviluppato internamente dal gruppo, rappresenta un’eccezione nel panorama RaaS: solitamente gli affiliati devono procurarsi autonomamente strumenti per eludere le difese. EDRKillShifter utilizza driver vulnerabili per terminare i processi di sicurezza dal kernel, rendendo estremamente difficile la protezione contro questo tipo di attacchi.
Connessioni e collaborazioni
RansomHub non opera isolatamente. Gli affiliati del gruppo sono stati trovati a collaborare anche con bande rivali come Play, Medusa e BianLian. Questa condivisione di strumenti e risorse evidenzia una rete complessa di relazioni tra i gruppi ransomware, dove la competizione si intreccia con la collaborazione.
Un impatto globale
Dalla sua nascita, RansomHub ha colpito oltre 210 vittime in settori critici come sanità, trasporti e infrastrutture governative. La sua strategia di doppia estorsione — crittografare i dati e minacciare la loro pubblicazione — si è dimostrata efficace nel massimizzare i guadagni. Inoltre, l’incremento del 15% delle vittime pubblicate sui siti di leak è attribuito in gran parte alla sua attività.
Le sfide della difesa
Come sottolinea ESET, difendersi da strumenti avanzati come EDRKillShifter richiede un approccio proattivo. Bloccare gli attacchi prima che i cybercriminali ottengano privilegi amministrativi è cruciale per ridurre il rischio di compromissione.
RansomHub rappresenta un nuovo capitolo nella storia del ransomware: un gruppo che combina innovazione tecnologica e strategie operative sofisticate per affermarsi in un ecosistema sempre più competitivo. La sua evoluzione sarà certamente al centro dell’attenzione degli esperti di cybersecurity nei mesi a venire.
Fonti
- https://go.recordedfuture.com/hubfs/reports/mtp-2024-0620.pdf
- https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-242a
- https://www.ic3.gov/Media/News/2024/240829.pdf
- https://www.cisa.gov/news-events/alerts/2024/08/29/cisa-and-partners-release-advisory-ransomhub-ransomware
- https://www.tripwire.com/state-of-security/ransomhub-ransomware-what-you-need-know
- https://blog.checkpoint.com/research/august-2024s-most-wanted-malware-ransomhub-reigns-supreme-while-meow-ransomware-surges/
- https://blog.checkpoint.com/research/june-2024s-most-wanted-malware-ransomhub-takes-top-spot-as-most-prevalent-ransomware-group-in-wake-of-lockbit3-decline/
- https://www.scmagazine.com/news/q2-2024-ransomware-stats-reflect-shifting-raas-landscape
