O grupo RansomHub foi o grupo de ransomware que mais fez ataques em 2024, de acordo com dados levantados pela empresa Group-IB. Nesses 12 meses, o grupo RansomHub atacou 600 empresas. Os especialistas observam que o RansomHub opera no formato ransomware-as-a-service (RaaS), atraindo seus parceiros em fóruns clandestinos como o RAMP. A principal estratégia foi buscar cibercriminosos que já havia trabalhado para outros grupos, o que permitiu que o RansomHub aumentasse rapidamente a escala de seus ataques.
Leia também
Ransomhub lidera estatísticas de ransomware
RansomHub atacou time italiano Bologna FC
A análise do código do malware mostrou que o grupo provavelmente adquiriu seu software da Knight (Cyclops), outra organização cibercriminosa. O uso de soluções prontas acelerou a implantação de ataques, e a natureza multiplataforma do programa permite a criptografia de sistemas em Windows, ESXi, Linux e FreeBSD, ampliando a lista de potenciais vítimas.
O RansomHub é considerado um grupo altamente organizado. Ele usa técnicas comprovadas de hacking como ataques a serviços VPN e credential stuffing — e métodos complexos, incluindo exploração de vulnerabilidades de zero-day. Os invasores têm ferramentas como o PCHunter à disposição para contornar medidas de segurança.
As táticas de ataque envolvem explorar minuciosamente a rede da vítima e capturar os dados mais valiosos. Os operadores penetram na infraestrutura, ganham controle sobre nós críticos – armazenamento de arquivos, backups, servidores – e transferem informações confidenciais para servidores remotos. Para transferir informações, os criminosos usam o Filezilla e então executam o processo de criptografia em hosts comprometidos.
Assim que o ataque é concluído, o RansomHub chantageia a vítima, exigindo um resgate para descriptografar e não publicar os dados. O ransomware pode desligar máquinas virtuais, destruir cópias de sombra de arquivos e limpar logs de eventos, dificultando as investigações incidente.
