RansomHub Team si attesta come uno dei maggiori avversari ransomware

RansomHub Team, apparso a febbraio 2024, si è rapidamente affermato come uno dei più importanti gruppi del panorama ransomware. Già nelle prime settimane di attività, alcune classifiche lo davano al quarto posto, preceduto dall’inossidabile LockBit Team, e poi da PLAY Team e Qilin Team.

L’avversario è strutturato, come la maggior parte degli attaccanti con finalità estorsive, in una crew di affiliati che utilizzano una minaccia condivisa nella modalità Ransomware-as-a-Service. Le rivendicazioni e gli eventuali leak ai danni delle vittime insolventi sono pubblicati su un sito .onion appositamente attivato nell’underground.

La minaccia RansomHub, un codice scritto in Go e C, compatibile coi sistemi operativi Windows, Linux ed ESXi, potrebbe essere una versione aggiornata e rebrandizzata del vecchio ransomware Knight. Inoltre, sono stati rilevati diversi elementi di contatto anche con l’encryptor utilizzato da ALPHV Team (BlackCat).

Le sovrapposizioni fra codici malevoli e tecniche di attacco dei vari gruppi, rilevate dagli analisti con una certa frequenza, testimoniano un contesto estremamente fluido e mutevole di avversari e minacce, nel quale scambi, collaborazioni, ma anche defezioni e dispute interne, sarebbero all’ordine del giorno. Un fattore che potrebbe aver contribuito alla crescita di RansomHub Team, infatti, consiste proprio nell’essere riuscito ad affiliare alcuni ex appartenenti ad ALPHV Team.

Questa dinamica è stata sottolineata in relazione al recente attacco subito dall’americana Change Healthcare, divisione di UnitedHealth Group, leader nel campo della tecnologia sanitaria. La compagnia è stata violata e ricattata da ALPHV Team e, successivamente, è stata ricattata anche da RansomHub Team, il quale avrebbe dimostrato di essere in possesso di dati compatibili col primo breach. Gli analisti hanno ipotizzato che possibili disaccordi tra gli affiliati di ALPHV abbiano indotto alcuni di loro a migrare verso RansomHub, portandosi via anche le informazioni rubate.

Nel complesso, RansomHub Team ha segnalato decine di violazioni contro realtà localizzate soprattutto negli USA e in Brasile, ma anche in Italia, Spagna e Regno Unito. Il settore che ha colpito con maggiore insistenza è quello dell’Information Technology, seguito da quelli delle rivendite, delle costruzioni ed energetico.

L’analisi della vittimologia, nella quale compaiono realtà come la Telco americana Frontier e la casa d’aste Christie’s, induce a immaginare una scelta mirata di target di alto livello, ai quali è possibile richiedere ingenti riscatti. Un esempio eloquente è stata la violazione contro la compagnia petrolifera libica Mellitah Oil & Gas. In quel caso, RansomHub Team ha rivendicato un breach di circa 1 TB di informazioni sensibili e classificate, per il quale, secondo alcune fonti, sarebbe stato richiesto un riscatto di 50 milioni di dollari.

Focus On è una serie di approfondimenti su temi e dati analizzati dal team di esperti del Cyber Intelligence Operations Center di TS-Way. Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Le attività del Centro sono finalizzate a produrre informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici, che consentono alle organizzazioni di valutare gli scenari di rischio, e a fornire assistenza in caso di incidente informatico.