RansomHub, un nouveau rançongiciel apparu en février 2024, se distingue par son modèle Ransomware-as-a-Service. Avec des techniques de double extorsion, il cible des secteurs variés à l’échelle mondiale. Synetis alerte sur sa progression rapide et sa menace croissante.
Un modèle Ransomware-as-a-Service proliférant
RansomHub est apparu sur la scène cybercriminelle en février 2024. Promu par un certain « Khloey » sur un forum illégal, ce rançongiciel adopte un modèle de Ransomware-as-a-Service (RaaS). Ce modèle attire des affiliés grâce à une politique lucrative. Les opérateurs de RansomHub exfiltrent d’abord les données sensibles avant de chiffrer les systèmes compromis. Cette stratégie de double extorsion force les victimes à payer, sous peine de voir leurs données publiées en ligne.
Depuis son lancement, RansomHub a gravi les échelons des rançongiciels les plus actifs. Entre mars et mai 2024, il est passé de la quatrième à la troisième place des menaces les plus courantes. Le CERT de Synetis estime que RansomHub pourrait devenir le principal acteur de rançongiciels en 2024. Cette croissance fulgurante est en partie due à l’afflux d’affiliés issus du groupe Noberus, également connu sous les noms ALPHV ou Blackcat, qui a cessé ses activités en début d’année.
Vous aimerez aussi cet article:
Des techniques de cyberattaque sophistiquées
RansomHub utilise des méthodes avancées pour pénétrer et chiffrer les réseaux de ses victimes. Son code, écrit en Go et offusqué avec Gofuscate, présente des similitudes avec celui du rançongiciel Knight. L’une des particularités de RansomHub est sa capacité à redémarrer les machines infectées en mode sans échec avant de commencer le chiffrement. Cette technique permet aux attaquants de contourner certaines protections système.
Le groupe exploite aussi des vulnérabilités critiques comme ZeroLogon (CVE-2020-1472), qui offre une prise de contrôle totale des contrôleurs de domaine Windows. Pour échapper aux défenses des systèmes, RansomHub utilise EDR Kill Shifter. C’est un outil découvert par Sophos en mai 2024, qui désactive les protections Endpoint Detection and Response (EDR).
Synetis précise que RansomHub recourt également à des logiciels légitimes de bureau à distance, comme Atera et Splashtop, pour maintenir un accès continu aux systèmes compromis. Ces outils facilitent la persistance des attaquants dans l’infrastructure des victimes, même après le déploiement initial du rançongiciel.
Vous aimerez aussi cet article:
Victimologie et perspectives d’évolution
Les attaques de RansomHub ciblent de nombreux secteurs, dont les services informatiques, le commerce de détail, et l’énergie. Les victimes se trouvent majoritairement en Europe et en Amérique du Nord, avec une concentration notable aux États-Unis, en France et au Royaume-Uni. RansomHub exclut explicitement les pays de la Communauté des États indépendants, Cuba, la Corée du Nord et la Chine de ses cibles.
Le CERT de Synetis alerte sur la menace croissante de RansomHub. Avec plus de 270 victimes à ce jour, le groupe pourrait devenir l’un des plus grands acteurs de rançongiciels en 2024. Synetis recommande aux entreprises de renforcer leurs défenses, notamment par des sauvegardes régulières, l’application des correctifs de sécurité, et l’adoption de solutions EDR robustes. Une vigilance accrue face aux tactiques de RansomHub est essentielle pour anticiper et contrer cette menace évolutive.
Article basé sur un communiqué de presse reçu par la rédaction.