Sign up to save your podcasts
Or
Share IPGR Investigación 2 - Ransomware Ransomhub
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
IPGR Investigación 2 - Ransomware Ransomhub
Investigación Profunda de Grupos de Ransomware
Investigación 2 - Ransomware Ransomhub
1. Identificación y Perfil del Grupo
Nombre y Filosofía: RansomHub es un grupo de ransomware con miembros internacionales, enfocado en obtener ganancias en dólares.
Normas Operativas: No atacan a ciertos países (como la CEI, Cuba, Corea del Norte y China) y evitan repetir ataques contra víctimas que ya hayan pagado. Además, se comprometen a proporcionar descifradores en ciertos casos.
Origen y Aparición: Se sitúan en un entorno pro-ruso y se cree que surgieron a partir de un ransomware anterior llamado Knight, aunque algunos informes remontan sus primeras acciones a finales de 2018.
2. Tácticas, Técnicas y Procedimientos (TTPs)
Acceso Inicial: Utilizan métodos como phishing, explotación de vulnerabilidades (aprovechando CVEs conocidos) y rociado de contraseñas.
Movimiento Lateral y Escalada de Privilegios: Emplean herramientas como Mimikatz, RDP, PsExec y otros métodos para desplazarse dentro de la red y obtener accesos privilegiados.
Encriptación y Exfiltración: Cifran archivos utilizando algoritmos robustos (como Curve 25519, AES256 y otros) y practican la doble extorsión, amenazando con publicar los datos extraídos si no se realiza el pago.
Evasión de la Detección: Renombran sus ejecutables, borran registros y utilizan técnicas para desactivar antivirus y herramientas de detección.
3. Flujo de Ataque y Características Técnicas
El proceso de ataque se divide en fases:
Acceso Inicial: Mediante spear-phishing, explotación de vulnerabilidades y credenciales comprometidas.
Ejecución y Persistencia: Uso de herramientas legítimas y creación de cuentas para asegurar el acceso prolongado.
Movimiento Lateral y Exfiltración: Reconocimiento de la red para comprometer otros sistemas y extracción de datos mediante diversas herramientas.
Cifrado y Extorsión: Implementación de un cifrado intermitente en archivos y uso de notas de rescate que informan a las víctimas sobre el contacto vía direcciones .onion.
4. Operaciones Financieras y Modelo de Negocio
Distribución de Ganancias: Los afiliados reciben el 90% de los pagos, mientras que el grupo principal retiene el 10%.
Métodos de Pago: Se priorizan criptomonedas como Bitcoin y Monero, haciendo uso de mixers para dificultar el rastreo.
5. Victimología
Sectores y Ejemplos de Ataques: Entre las víctimas se encuentran organizaciones de diversos sectores, incluyendo al Gobierno de México (CJEF) y el Departamento de Salud de Florida, entre otros.
6. Contramedidas y Detección
Recomendaciones de Seguridad: Se proponen medidas de respuesta a incidentes, mitigaciones basadas en las directrices de CISA y NIST, y prácticas de recuperación de datos.
Implementación de Controles: Se destacan la importancia de mantener sistemas actualizados, segmentar redes, aplicar autenticación multifactor y realizar auditorías de seguridad.
Enlace de investigación de CISA - Ransomhub
https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-242a
Redes Sociales:
https://shows.acast.com/blueteam-sin-morir-en-el-intento
https://linkedin.com/company/blue-team-smi
https://x.com/blueteam_smi
https://www.youtube.com/@BlueTeamSMI
Donativo:
https://buymeacoffee.com/btsmi
Hosted on Acast. See acast.com/privacy for more information.
View all episodes
By Jose RojasInvestigación Profunda de Grupos de Ransomware
Investigación 2 - Ransomware Ransomhub
1. Identificación y Perfil del Grupo
Nombre y Filosofía: RansomHub es un grupo de ransomware con miembros internacionales, enfocado en obtener ganancias en dólares.
Normas Operativas: No atacan a ciertos países (como la CEI, Cuba, Corea del Norte y China) y evitan repetir ataques contra víctimas que ya hayan pagado. Además, se comprometen a proporcionar descifradores en ciertos casos.
Origen y Aparición: Se sitúan en un entorno pro-ruso y se cree que surgieron a partir de un ransomware anterior llamado Knight, aunque algunos informes remontan sus primeras acciones a finales de 2018.
2. Tácticas, Técnicas y Procedimientos (TTPs)
Acceso Inicial: Utilizan métodos como phishing, explotación de vulnerabilidades (aprovechando CVEs conocidos) y rociado de contraseñas.
Movimiento Lateral y Escalada de Privilegios: Emplean herramientas como Mimikatz, RDP, PsExec y otros métodos para desplazarse dentro de la red y obtener accesos privilegiados.
Encriptación y Exfiltración: Cifran archivos utilizando algoritmos robustos (como Curve 25519, AES256 y otros) y practican la doble extorsión, amenazando con publicar los datos extraídos si no se realiza el pago.
Evasión de la Detección: Renombran sus ejecutables, borran registros y utilizan técnicas para desactivar antivirus y herramientas de detección.
3. Flujo de Ataque y Características Técnicas
El proceso de ataque se divide en fases:
Acceso Inicial: Mediante spear-phishing, explotación de vulnerabilidades y credenciales comprometidas.
Ejecución y Persistencia: Uso de herramientas legítimas y creación de cuentas para asegurar el acceso prolongado.
Movimiento Lateral y Exfiltración: Reconocimiento de la red para comprometer otros sistemas y extracción de datos mediante diversas herramientas.
Cifrado y Extorsión: Implementación de un cifrado intermitente en archivos y uso de notas de rescate que informan a las víctimas sobre el contacto vía direcciones .onion.
4. Operaciones Financieras y Modelo de Negocio
Distribución de Ganancias: Los afiliados reciben el 90% de los pagos, mientras que el grupo principal retiene el 10%.
Métodos de Pago: Se priorizan criptomonedas como Bitcoin y Monero, haciendo uso de mixers para dificultar el rastreo.
5. Victimología
Sectores y Ejemplos de Ataques: Entre las víctimas se encuentran organizaciones de diversos sectores, incluyendo al Gobierno de México (CJEF) y el Departamento de Salud de Florida, entre otros.
6. Contramedidas y Detección
Recomendaciones de Seguridad: Se proponen medidas de respuesta a incidentes, mitigaciones basadas en las directrices de CISA y NIST, y prácticas de recuperación de datos.
Implementación de Controles: Se destacan la importancia de mantener sistemas actualizados, segmentar redes, aplicar autenticación multifactor y realizar auditorías de seguridad.
Enlace de investigación de CISA - Ransomhub
https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-242a
Redes Sociales:
https://shows.acast.com/blueteam-sin-morir-en-el-intento
https://linkedin.com/company/blue-team-smi
https://x.com/blueteam_smi
https://www.youtube.com/@BlueTeamSMI
Donativo:
https://buymeacoffee.com/btsmi
Hosted on Acast. See acast.com/privacy for more information.