Ransomware : que sait-on de RansomHub ?

« Depuis son apparition en février 2024, RansomHub a chiffré et exfiltré des données d’au moins 210 victimes représentant les secteurs des infrastructures critiques tels que l’eau et les eaux usées, les technologies de l’information, les services et installations gouvernementaux, la santé publique, les services d’urgence, l’alimentation et l’agriculture, les services financiers, les installations commerciales, la fabrication critique, les transports et les communications », indiquait, le 29 août, l’agence américaine de la cybersécurité et de la sécurité des infrastructures, la Cisa.

« RansomHub est une variante de ransomware en tant que service (ransomware-as-a-service), anciennement connue sous les noms de Cyclops et Knight », explique l’agence, ajoutant que l’enseigne a réussi à attirer d’anciens affidés d’Alphv et LockBit 3.0. 

Cette migration s’est traduite concrètement dans l’activité observable des enseignes : celle de LockBit 3.0 a considérablement reculé après le mois de mai. Tandis que celle de RansomHub décollait rapidement. 

Comparativement, la franchise Knight n’a pas été significativement active, avec moins de 50 victimes entre l’été 2023 et le début 2024. Avant cela, et sous la marque Cyclops, seules 6 victimes sont référencées.

C’est un affidé de RansomHub qui est impliqué dans la cyberattaque qui a touché Halliburton le 21 août dernier. L’enseigne a également été utilisée pour revendiquer la cyberattaque conduite plus tôt cette année contre Christie’s.

Group-IB indique que « Le ransomware de RansomHub affecte les plateformes Windows, Linux et ESXi, et peut se propager automatiquement au sein d’un réseau interne. Il est capable de désactiver les interfaces réseau ou de passer en mode sans échec sur les systèmes Windows avant de procéder au chiffrement ».

Et de préciser que « le point d’entrée le plus courant est un service RDP publié sur un serveur Windows exposé au public, sans authentification multifacteur ».