Investigación Profunda de Grupos de RansomwareInvestigación 2 - Ransomware Ransomhub1. Identificación y Perfil del GrupoNombre y Filosofía: RansomHub es un grupo de ransomware con miembros internacionales, enfocado en obtener ganancias en dólares.Normas Operativas: No atacan a ciertos países (como la CEI, Cuba, Corea del Norte y China) y evitan repetir ataques contra víctimas que ya hayan pagado. Además, se comprometen a proporcionar descifradores en ciertos casos.Origen y Aparición: Se sitúan en un entorno pro-ruso y se cree que surgieron a partir de un ransomware anterior llamado Knight, aunque algunos informes remontan sus primeras acciones a finales de 2018.2. Tácticas, Técnicas y Procedimientos (TTPs)Acceso Inicial: Utilizan métodos como phishing, explotación de vulnerabilidades (aprovechando CVEs conocidos) y rociado de contraseñas.Movimiento Lateral y Escalada de Privilegios: Emplean herramientas como Mimikatz, RDP, PsExec y otros métodos para desplazarse dentro de la red y obtener accesos privilegiados.Encriptación y Exfiltración: Cifran archivos utilizando algoritmos robustos (como Curve 25519, AES256 y otros) y practican la doble extorsión, amenazando con publicar los datos extraídos si no se realiza el pago.Evasión de la Detección: Renombran sus ejecutables, borran registros y utilizan técnicas para desactivar antivirus y herramientas de detección.3. Flujo de Ataque y Características TécnicasEl proceso de ataque se divide en fases:Acceso Inicial: Mediante spear-phishing, explotación de vulnerabilidades y credenciales comprometidas.Ejecución y Persistencia: Uso de herramientas legítimas y creación de cuentas para asegurar el acceso prolongado.Movimiento Lateral y Exfiltración: Reconocimiento de la red para comprometer otros sistemas y extracción de datos mediante diversas herramientas.Cifrado y Extorsión: Implementación de un cifrado intermitente en archivos y uso de notas de rescate que informan a las víctimas sobre el contacto vía direcciones .onion.4. Operaciones Financieras y Modelo de NegocioDistribución de Ganancias: Los afiliados reciben el 90% de los pagos, mientras que el grupo principal retiene el 10%.Métodos de Pago: Se priorizan criptomonedas como Bitcoin y Monero, haciendo uso de mixers para dificultar el rastreo.5. VictimologíaSectores y Ejemplos de Ataques: Entre las víctimas se encuentran organizaciones de diversos sectores, incluyendo al Gobierno de México (CJEF) y el Departamento de Salud de Florida, entre otros.6. Contramedidas y DetecciónRecomendaciones de Seguridad: Se proponen medidas de respuesta a incidentes, mitigaciones basadas en las directrices de CISA y NIST, y prácticas de recuperación de datos.Implementación de Controles: Se destacan la importancia de mantener sistemas actualizados, segmentar redes, aplicar autenticación multifactor y realizar auditorías de seguridad.Enlace de investigación de CISA - Ransomhubhttps://www.cisa.gov/news-events/cybersecurity-advisories/aa24-242aRedes Sociales:[email protected]://shows.acast.com/blueteam-sin-morir-en-el-intentohttps://linkedin.com/company/blue-team-smihttps://x.com/blueteam_smihttps://www.youtube.com/@BlueTeamSMIDonativo:https://buymeacoffee.com/btsmi Hosted on Acast. See acast.com/privacy for more information.

Ver todos los episodios