AUMENTAN LAS AMENAZAS DE LA BANDA CIBERCRIMINAL “RANSOMHUB”, QUE SE EXTIENDE EN MÉXICO Y EL RESTO DEL MUNDO

“RansomHub” es un grupo criminal que nació a inicios de 2024 y se posiciona como una de las bandas más activas y eficaces dentro del mundo del cibercrimen, según la empresa de ciberseguridad ESET, que reconoció a dicha agrupación como responsable de ataques recientes al Gobierno de México.

¡Alertan por el impacto de “RansomHub” en México y Latinoamérica!

El sitio RansomLook desarrolló un listado detallado de todas las empresas y víctimas de “RansomHub” a nivel mundial, según retomó ESET a través de su portal “WeLiveSecurity“.

Dicha página web también reconoce diversos casos que tuvieron lugar en Latinoamérica, como el secuestro de 300 GB de datos de la Consejería Jurídica del Poder Ejecutivo Federal (CJEF) de México.

ESET precisó, que entre los datos robados a la dependencia mexicana se encontraban datos clave del Gobierno mexicano como contratos e información de sus funcionarios.

“Como prueba del ataque, el grupo publicó un contrato de lineamientos para el alquiler de inmuebles utilizados por la Consejería Jurídica”.

La empresa de ciberseguridad también reconoció que, en mayo de 2024, la Universidad Nacional Autónoma de México (UNAM) sufrió un ataque de “RansomHub“. “Involucró, según el propio grupo, el cifrado de información de casi 40 mil usuarios y empleados”, complementó.

Pero los ataques de dicho grupo no se limitan a México, pues en Brasil atacó al Sistema de Cooperativas Financieras de Brasil, una de las Fintech más destacadas del mercado brasileño, según ESET.

“Según compartió ‘RansomHub‘ durante el mes de julio, accedieron a más de 200 GB de datos, incluyendo documentos privados, bases de datos, webmails, código fuente, e información privada de más de 6 mil restaurantes y más de 600 mil clientes“, retomó la compañía de seguridad informática.

El grupo atacó a universidades, organismos de gobierno y empresas de los siguientes países de América Latina, como:

México

Argentina

Chile

Perú

Brasil

Guatemala

El Salvador

La fuerza de este grupo criminal es global

ESET alertó que “RansomHub” se ha posicionado rápidamente como uno de los grupos de ransomware más activos a nivel global en la actualidad.

Además, retomó un informe elaborado por el Gobierno de Estados Unidos en el que afirmaba que, hasta agosto de 2024, el grupo ya acumulaba más de 200 víctimas.

Por otro lado, las estadísticas elaboradas por el propio Ransomlook mostró que en los últimos 30 días antes de su publicación se habían manifestado 90 víctimas por este grupo de ransomware, el doble que el segundo atacante más activo: Killsec3, con 45 vulneraciones.

La empresa de ciberseguridad destacó que, entre las empresas que fueron víctimas a lo largo del año, se destacan los siguientes sectores:

Aguas residuales

Tecnología de la información

Servicios gubernamentales

Salud pública

Servicios financieros

Transporte

Infraestructura crítica de comunicaciones

¿Qué es y cómo opera “RansomHub”, según ESET?

ESET explicó que “RansomHub” es un grupo de ransomware que comenzó a operar desde inicios de 2024, tras desmantelar el grupo ALPHV/BlackCat. El 2 de febrero, se pronunció en el foro criminal RAMP para lanzar su programa de afiliados, con algunos lineamientos de propuesta.

Este grupo cibercriminal trabaja bajo el modelo de Ransomware-as-a-Service (RaaS), es decir, que proporciona herramientas, recursos y soporte a los afiliados que luego realizan los ataques. “Por este servicio cobra el 10% de los pagos obtenidos en cada ataque”, según la compañía.

“El grupo pone algunas reglas muy claras a sus afiliados, las cuales limitan sus objetivos. Por ejemplo, no permite que se realicen ataques a hospitales sin fines de lucro y a organizaciones de ciertos países como Cuba, Corea del Norte, y China”.

Por esta razón, sus principales víctimas suelen ser instituciones y empresas de alto perfil y gran capacidad de pago, sobre todo, aquellas que manejan información sensible, como sectores de gobierno y/o corporativo.

Así extorsiona este grupo a sus víctimas

“RansomHub” induce a sus víctimas a ponerse en contacto con los operadores a través de una URL exclusiva y si las empresas se niegan a cumplir las exigencias del rescate, verán su información publicada en tres o 90 días en el sitio oficial del grupo, según el sitio The Hacker News.

Para lograr el acceso inicial, explotan vulnerabilidades de seguridad y, posteriormente, los afiliados del grupo crean cuentas de usuario para persistencia, rehabilitan cuentas deshabilitadas y recopilan credenciales en sistemas Windows para escalar privilegios al sistema, remató ESET.