Detecção do RansomHub: FBI, CISA e Parceiros Alertam sobre Crescente Variante RaaS Alvejando Organizações de Infraestrutura Crítica
Índice:
Logo após o aviso conjunto de segurança cibernética alertando os defensores do apoio do Irã Colaboração do Pioneer Kitten com vários grupos de ransomware, outro aumento na atividade de ransomware está causando agitação no cenário de ameaças cibernéticas. O FBI, CISA e parceiros recentemente emitiram um alerta conjunto cobrindo a atividade ofensiva aumentada dos operadores do RansomHub RaaS, que violaram pelo menos 210 organizações em apenas meio ano desde o surgimento do grupo na arena de ameaças cibernéticas.
Detectar ataques do RansomHub
Com o surto de ransomware permanecendo tão desenfreado como sempre em 2024 e as exigências de resgate aumentando cinco vezes no último ano, ataques de ransomware estão se provando uma ameaça crescente para as organizações globais. A divulgação do último alerta conjunto AA24-242A pelas organizações coautoras destaca a necessidade de impedir proativamente ataques por afiliados do ransomware RansomHub. A SOC Prime Platform para defesa cibernética coletiva equipa as equipes de segurança com algoritmos de detecção enriquecidos com contexto para ajudá-los a identificar intrusões do RansomHub em tempo hábil.
Clique no Explore Detecções botão abaixo para acessar a lista de conteúdo relevante da SOC filtrada pela tag personalizada com base no identificador do alerta. Todas as regras Sigma na pilha de detecção fornecida são alinhadas com o MITRE ATT&CK® framework, enriquecidas com metadados acionáveis e CTI personalizados, e estão prontas para uso em várias soluções SIEM, EDR e Data Lake.
Os engenheiros de segurança também podem buscar detecções adicionais usando a tag personalizada “RansomHub” ou explorar regras Sigma relevantes para detectar tentativas de exploração relacionadas às vulnerabilidades conhecidas que são comumente usadas como vetores de acesso inicial por adversários do RansomHub:
- Regras Sigma para detectar tentativas de exploração do CVE-2023-3519
- Regras Sigma para detectar tentativas de exploração do CVE-2023-27997
- Regras Sigma para detectar tentativas de exploração do CVE-2023-46604
- Regras Sigma para detectar tentativas de exploração do CVE-2023-22515
- Regras Sigma para detectar tentativas de exploração do CVE-2023-46747
- Regras Sigma para detectar tentativas de exploração do CVE-2023-48788
- Regras Sigma para detectar tentativas de exploração do CVE-2020-1472
As equipes de segurança também podem aproveitar o co-piloto de IA da SOC Prime para engenharia de detecção para simplificar a pesquisa de ameaças e a correspondência de IOCs. Com Uncoder AI, é mais fácil buscar IOCs a partir do aviso correspondente AA24-242A e vinculado à atividade do RansomHub. Os defensores podem converter com facilidade os IOCs relevantes em consultas de caça que estão prontas para execução em sua instância escolhida de SIEM ou EDR.
Análise de Ataque do RansomHub
Em 29 de agosto de 2024, o FBI e a CISA, em conjunto com outras agências autoras, liberaram o alerta AA24-242A focado nos ataques crescentes contra organismos estatais e organizações de infraestrutura crítica, incluindo água e esgoto, TI, saúde, serviços financeiros e comunicações. O grupo RansomHub por trás desses ataques já atingiu mais de 210 organizações desde seu surgimento em fevereiro de 2024. O RansomHub, uma vez conhecido como Cyclops ou Knight, se tornou um modelo eficaz e bem-sucedido, recentemente atraindo os principais afiliados de ransomware de outras variantes notórias como LockBit and ALPHV.
Os mantenedores do ransomware operam sob o modelo RaaS e empregam uma abordagem de dupla-extorsão, criptografando sistemas e extraindo dados para coagir as vítimas a pagar o resgate exigido. A nota de resgate deixada durante a criptografia geralmente não possui uma demanda específica ou instruções de pagamento. Em vez disso, fornece uma identificação de cliente e orienta as vítimas a entrarem em contato com o grupo de ransomware através de um URL .onion exclusivo na rede Tor. As vítimas geralmente têm até 90 dias para pagar antes que seus dados sejam publicados no site de vazamento do adversário.
Como vetor de ataque inicial, os mantenedores do RansomHub comumente confiam em e-mails de phishing, exploração de vulnerabilidades, incluindo a armação de falhas críticas e zero-day como CVE-2023-3519, CVE-2023-46604, CVE-2023-22515, ou CVE-2020-1472, e ataques de pulverização de senhas, que miram contas comprometidas em violações de dados. Os adversários obtêm exploits de PoC de recursos publicamente disponíveis, como ExploitDB ou GitHub.
Os atores do RansomHub escaneiam redes usando ferramentas como AngryIPScanner, Nmap e PowerShell. Os atacantes também aplicam um conjunto de técnicas para evadir a detecção, como renomear executáveis de ransomware para nomes benignos, limpar logs do sistema e usar o Windows Management Instrumentation para desativar o software antivírus. Em alguns casos, eles também desativam ferramentas de EDR com suas utilidades personalizadas. Para persistência, criam ou reativam contas de usuário, utilizam Mimikatz para coletar credenciais e escalar privilégios, e movem-se lateralmente através da rede usando métodos como RDP, PsExec, Anydesk, e várias ferramentas de C2 como Cobalt Strike e Metasploit. O RansomHub também utiliza métodos sofisticados para criptografar arquivos no sistema, como o algoritmo de criptografia Curve 25519, que emprega um par de chaves pública/privada único para cada organização alvo.
Para minimizar os riscos dos ataques do RansomHub, as agências autoras aconselham aderir às recomendações fornecidas no Guia #StopRansomware, fortalecendo a higiene cibernética e testando e validando continuamente os controles de segurança existentes da organização. Ao confiar na suite completa de produtos da SOC Prime para engenharia de detecção com poder de IA, caça automatizada de ameaças e detecção avançada de ameaças, as organizações podem se defender proativamente contra ataques de ransomware e outras ameaças atuais ou emergentes de qualquer escala e sofisticação para construir uma postura robusta de cibersegurança.
