#StopRansomware : RansomHub Ra... Note

#StopRansomware : RansomHub Ransomware

L'avis conjoint de sécurité informatique du FBI, de la CISA, du MS-ISAC et du HHS vise à fournir des informations sur la variante de ransomware RansomHub, qui a été identifiée comme un modèle de ransomware-as-a-service qui a attiré des affiliés de premier plan d'autres variantes notables. RansomHub a chiffré et exfiltré des données de au moins 210 victimes dans divers secteurs. Les affiliés utilisent des e-mails de phishing, exploitent des vulnérabilités connues et des attaques de type 'password spraying' pour accéder initialement au système. Ils effectuent ensuite des scans de réseau, désactivent les produits antivirus et se déplacent à l'intérieur du réseau en utilisant des outils tels que Mimikatz, Cobalt Strike et d'autres. Les méthodes d'exfiltration des données varient, mais incluent des outils comme PuTTY, des buckets AWS S3 et des requêtes HTTP POST. Le ransomware utilise un algorithme de cryptographie elliptique pour chiffrer les fichiers, en ajoutant une clé unique et un checksum à la fin de chaque fichier. L'exécutable du ransomware ne chiffre pas les fichiers exécutables et supprime les copies d'ombre de volume pour empêcher la récupération du système.