RansomHub: ¿qué es y qué ataques han perpetrado?

| 15:05 | Alberto Estrada | Check Point, Halcyon y OMA
RansomHub roba información para pedir rescate. Foto: Shutterstock

RansomHub es uno de los grupos de ransomware más prevalentes de la actualidad que se dedican a robar información a entidades y venderla si no se les paga un rescate, de acuerdo Check Point.

En los últimos meses varias instituciones se han visto afectadas por el grupo de hackers, la última de ellas, posiblemente fue la Consejería Jurídica del Ejecutivo Federal (CJEF) de México, de acuerdo con la presidenta Claudia Sheinbaum en su “mañanera” del 20 de noviembre.

En UnoTV repasamos quién es este grupo de ransomware, cómo operan y cuáles son los ataques que ha perpetrado.

Origen de RansomHub

RansomHub se dio a conocer durante el ataque a Change Healthcare, cadena de asistencia médica en Estados Unidos, a principios de 2024.

RansomHub, una variante de ransomware como servicio (RaaS) anteriormente conocida como Cyclops y Knight, ha evolucionado rápido, atrayendo a afiliados de alto perfil que antes operaban con otros grupos prominentes como LockBit y ALPHV (también conocido como BlackCat).

Este cambio se ha visto impulsado por recientes acciones que han desarticulado otras operaciones criminales, haciendo de RansomHub una opción cada vez más popular entre los cibercriminales, según el sitio TecnetOne.

El método operativo de RansomHub

RansomHub, al igual que sus predecesores recientes, se basa en la doble extorsión, en la que un afiliado obtiene acceso inicial, roba la mayor cantidad posible de datos confidenciales y luego desata una carga útil de ransomware en su salida, tal como lo menciona Check Point.

Además, la víctima tiene que lidiar con la doble pesadilla de no solo descodificar sus sistemas para devolver el acceso de empleados y clientes, sino también el dilema moral de pagar a los delincuentes para que impidan que se publiquen datos confidenciales.

¿Qué ataques son atribuidos a RansomHub?

La relevancia que ha tenido RansomHub en los últimos meses lo han coloco en el primer lugar del grupo de ransomware con más prevalencia en el índice de julio de Check Point.

Entre los ataques que se le han atribuido está el que sufrió la Universidad Nacional Autónoma de México (UNAM) a principios de mayo.

En aquel momento, el sitio Halcyon, primera plataforma dedica al antiransomware, informó que 20 GB de datos de los sistemas la UNAM fueron robados.

Aunque no se ha especificado el método exacto de infiltración utilizado por RansomHub en el ataque a la UNAM, menciona Halcyon, los puntos de entrada comunes en casos similares incluyen phishing, explotación de sistemas sin pared o credenciales comprometidas.

“Instituciones educativas como la UNAM suelen manejar grandes cantidades de datos sensibles y propiedad intelectual, lo que las convierte en blancos atractivos para ataques de ransomware“.

Halcyon

Además de la UNAM, el Grupo Aeroportuario del Centro Norte (OMA) admitió ser víctima de un ciberataque el mes pasado, en el cual se vio comprometida la protección de su integridad, confidencialidad y disponibilidad de sus sistemas.

En un comunicado, el grupo conocido como OMA, informó que pusieron a sus expertos externos en ciberseguridad e investigaron el incidente para determinar el alcance del ataque que se presume fue perpetrado por RansomHub.

El último ataque que se le atribuye a RansomHub fue el pasado 15 de noviembre en Leeds, Reino Unido, y el afectado fue John Hornby; además tiene contabilizado más de 17 ciberataques a nivel mundial en el último mes, según Halcyon.

Etiquetas: