RansomHub. Parce que chaque affilié abandonné a besoin d’un foyer.

Parfois, la vie est vraiment injuste. Un jour, vous êtes un petit affilié intrépide d’ALPHV/BlackCat qui vaque à ses occupations et essaie de gagner sa vie de manière malhonnête. Le lendemain, votre partenaire en cybercriminalité gagne très gros et ferme boutique, vous laissant sans marque, sans infrastructure et sans dignité. Qu’allez-vous devenir ?

Pas de souci, tous les affiliés abandonnés sont invités à rejoindre RansomHub, une marque de ransomware relativement nouvelle que de nombreux acteurs de la menace expérimentés considèrent désormais comme leur maison.

RansomHub s'est annoncé le 2 février 2024 avec ce billet sur le forum criminel RAMP:

« Nous vous invitons à rejoindre notre programme d’affiliation RANSOMHUB.

Nous avons pris en compte tous les avantages et les inconvénients des programmes d’affiliation précédents et avons créé la nouvelle génération de ransomwares.

Nous avons remarqué que la police avait saisi les comptes de certains affiliés ou les ont empêchés de poursuivre leurs activités frauduleuses, ce qui vous a fait perdre vos fonds. Nous avons adopté une nouvelle stratégie : vous pouvez envoyer votre portefeuille au salon de discussion et l’outil de déchiffrement après avoir confirmé le paiement. Vous n’avez pas à vous soucier de la sécurité de vos fonds.

Notre commission fixe est de 10 % et vous nous payez lorsque vous recevez l’argent. »

Huit jours plus tard, RansomHub faisait sa première victime et, en avril, sa plus grosse prise. 

Change Healthcare a été informé qu’il devrait payer une deuxième rançon pour protéger ses données, car ALPHV avait volé la première.

À ce jour, RansomHub a fait 74 victimes (connues), dont Frontier Communications et Christie’s Auction House.

RansomHub aurait vendu les données de Christie’s Auction House le 4 juin.

La violation de données subie par Christie’s pourrait avoir une incidence inattendue sur les lois de protection des consommateurs à la suite d’un recours collectif pour des préjudices présumés de nature inhabituelle :

«... Le courtage de données représente un marché de 200 milliards de dollars... Les clients de Christie’s ne peuvent plus vendre volontairement leurs données personnelles à leur pleine valeur, car ces données ont déjà été révélées par la violation de RansomHub. »

Le recours allègue également un préjudice causé par la combinaison d’ensembles partiels de données pour créer des packages « fullz », qui sont des profils complets d’un individu. Un acteur de la menace qui détient un package complet peut causer de graves dommages à la victime profilée.

Cette question ne sera probablement pas défendue devant les tribunaux, mais il serait intéressant de voir comment l’étendue élargie du préjudice pourrait affecter les lois sur la divulgation, la responsabilité, etc. Cet article présente plus d’informations sur le procès.

Qui est RansomHub ?

On ne sait pas grand-chose sur les affiliés et les opérateurs de RansomHub. La marque fonctionne comme un RaaS et a profité du vide laissé par ALPHV pour recruter des affiliés expérimentés. De plus, les opérateurs de RansomHub ont structuré leur système de paiement pour donner la priorité au paiement de l’affilié en premier. L’expansion rapide de RansomHub peut être attribuée en partie à cet accord de paiement.

Les affiliés de RansomHub opèrent dans le monde entier, mais ils déclarent explicitement ne pas cibler les pays de la Communauté des États indépendants (CEI), Cuba, la Corée du Nord et la Chine. Il s’agit d’une pratique courante parmi les groupes de ransomwares affiliés à la Russie. Le groupe s’est également annoncé sur la Russian Anonymous Market Place, également connue sous le nom de forum criminel RAMP.

Comme la plupart des groupes de ransomwares, RansomHub semble être motivé par le gain financier et non par une idéologie politique ou un objectif socio-économique. Ils s’attaquent aux victimes dans les pays et les secteurs d’activité bien pourvus en cibles intéressantes dont ils pensent pouvoir obtenir les rançons les plus élevées. La plupart des victimes se trouvent aux États-Unis, au Royaume-Uni, en Allemagne, au Canada et en Australie. Le groupe cible particulièrement les secteurs de la santé, de la finance et de l’industrie manufacturière. 

En avril 2024, RansomHub était le cinquième groupe de ransomware le plus actif et faisait presque autant de victimes chaque mois que LockBit et Play.

L’arbre généalogique de RansomHub

Selon les premières spéculations, RansomHub serait le nouveau visage d’ALPHV. Alors que les deux groupes de menaces ont été actifs de février à avril, les attaques de RansomHub se sont multipliées peu après la fermeture d’ALPHV. Dmitri Smilyanets a été l’un des premiers à démontrer cette chronologie :

Ensuite, il y a eu le lien évident avec Change Healthcare. ALPHV était payé, mais RansomHub détenait les données. Cette question a été abordée lors d’une conversation sur le forum entre vx underground et l’opérateur du RansomHub :

À ce stade, il semblerait que Notchy ait rejoint RansomHub avec les données de Change Healthcare, et de nombreuses autres filiales d’ALPHV ont fait de même.  

Viennent ensuite les tactiques, techniques et procédures (TTP) utilisées à la fois par ALPHV et RansomHub. Les chercheurs ont observé d’importantes similitudes dans les méthodes et outils opérationnels utilisés par les acteurs de la menace RansomHub et ALPHV. Il s’agit notamment des méthodes de déploiement, des styles de notes de rançon et des algorithmes de chiffrement. Les deux groupes utilisent une infrastructure de commandement et de contrôle (C2) semblable, y compris des adresses IP et des domaines qui se chevauchent. Et le ransomware RansomHub inclut du code qui semble être directement copié du ransomware ALPHV.

Vous vous souvenez peut-être que l’arbre généalogique d’ALPHV remonte à GandCrab, qui a fermé ses portes en 2019. Les opérateurs de GandCrab seraient passés au ransomware REvil, apparu en avril 2019. Les deux groupes ont été actifs d’avril à juin de cette année-là, ont utilisé des codes de ransomware similaires et ont utilisé une partie de la même infrastructure.

REvil a disparu de la Toile fin 2021, et nombre de ses affiliés et de ses TTP sont apparus lors d’attaques DarkSide peu de temps après. DarkSide a fermé ses portes en mai 2021, peu après la cyberattaque de Colonial Pipeline, qui a été déclaré incident de sécurité nationale. Il est réapparu sous le nom de Blackmatter en juillet 2021, mais a de nouveau fermé en novembre 2021 en raison de nouvelles réglementations qui rendaient difficile la collecte de rançons.

Et comme nous l’avons mentionné dans un article précédent, Blackmatter a été rebaptisé Alphv/BlackCat. Cela nous ramène au recrutement des affiliés d’ALPHV par RansomHub. 

Les chercheurs ont trouvé des similitudes de code entre RansomHub et ALPHV, Cyclops et Knight (Cyclops 2.0).

Le ransomware Cyclops est devenu un RaaS en 2023 et s’est fait connaître pour avoir développé des souches personnalisées conçues pour exploiter les vulnérabilités du réseau cible. Le groupe utilisait des méthodes de chiffrement avancées et une double extorsion, et pouvait s’attaquer à Windows, Linux et macOS. La marque Cyclops n’a pas duré longtemps, car elle a annoncé publiquement qu’elle serait rebaptisée Knight ransomware lors du lancement de la prochaine version.

Il a ensuite été allégué que Knight entretenait des liens avec Babuk et LockBit, ce que Knight a démenti dans cet entretien avec SuspectFile :

« Nous ne prétendons pas avoir un quelconque lien avec eux, ce sont des absurdités qu’ils rapportent dans les médias pour attirer l’attention. Nous avons un code complètement différent du leur et utilisons un autre langage de développement. »

Le groupe de ransomware Knight a mis son logiciel en vente en février 2024, à peu près au même moment où RansomHub est né.

De nombreux chercheurs pensent aujourd’hui que RansomHub a utilisé le code source de Knight pour créer sa propre souche. Le logiciel RansomHub peut être considéré comme une nouvelle marque du logiciel Knight, mais le groupe n’a pas changé de nom.

Les chercheurs obtiennent la plupart de ces informations en examinant les chronologies, les TTP et d’autres types de renseignements. Des échantillons de code, des adresses IP et des similitudes dans les notes de rançon et d’autres détails fournissent des indices sur l’origine et l’identité de ces menaces. Les opérateurs changent de nom de marque et les acteurs des menaces changent d’affiliation, mais leurs attaques commencent presque toujours par des identifiants volés, des points d’accès à distance mal sécurisés ou des vulnérabilités et des exploits. 

Protégez votre entreprise

Le site Web Stop Ransomware de l’Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) peut vous aider à prévenir les attaques de ransomware. Vous devriez consulter ce site pour vous informer sur les communications d’urgence, les mauvaises pratiques et la réponse appropriée aux attaques de ransomware. Assurez-vous également de suivre les bonnes pratiques standard, telles que les sauvegardes régulières des données et la gestion des correctifs en temps opportun.

Barracuda offre une protection complète contre les ransomwares et propose l’une des plateformes de cybersécurité les plus complètes du marché. Consultez notre site web pour en savoir plus sur la façon dont nous protégeons les messageries électroniques, les réseaux, les applications et les données.