“No es un ataque que ha venido del Estado español, viene de fuera de España”. Así han explicado los responsables del Hospital Clínic de Barcelona lo ocurrido con el ransomware que paralizó parte de la actividad del hospital el pasado domingo. Por ahora, se desconoce cuándo podrán volver a la normalidad, aunque ya se ha apuntado a quién está detrás de este ciberataque, un grupo conocido como RansomHouse, que lleva actuando desde finales de 2021.
En la operación de cibercrimen denominada RansomHouse, los actores de amenazas publican evidencia de archivos robados y filtran datos de organizaciones que se niegan a pagar un rescate. Esta nueva operación afirma no usar ningún ransomware y, en cambio, se enfoca en violar las redes a través de supuestas vulnerabilidades para robar los datos de un objetivo.
Sin embargo, no se hacen responsables de sus actos. En cambio, culpan a las empresas por no asegurar adecuadamente su red y por las recompensas “ridículamente pequeñas” que se ofrecen por la divulgación de vulnerabilidades.
“Creemos que los culpables no son los que encontraron la vulnerabilidad o ejecutaron el hackeo, sino los que no cuidaron debidamente la seguridad. Los culpables son los que no pusieron candado a la puerta dejándola abierta de par en par invitando a todos a entrar”, escriben los actores de amenazas de RansomHouse en su página “acerca de nosotros”.
“La gente es intrínsecamente curiosa y está ansiosa por conocer el objeto de su interés. Por lo general, las corporaciones responden al mensaje de que sus “puertas están abiertas de par en par” en un contexto negativo, amenazas directas o silencio. En casos raros, uno puede encontrar gratitud y pagos ridículamente pequeños. que no cubren ni el 5% de los esfuerzos de un entusiasta”.
Orientación de sus datos
Se cree que RansomHouse se lanzó en diciembre de 2021 con su primera víctima, supuestamente la Autoridad de Juegos y Licores de Saskatchewan (SLGA), que ahora figura en el sitio de extorsión.
Desde el lanzamiento del sitio este mes, los actores de amenazas han agregado otras tres víctimas, siendo la más reciente un proveedor de servicios de soporte de una aerolínea alemana, atacado la semana pasada.
Curiosamente, RansomHouse enumera las URL de las publicaciones en los medios para las víctimas que aún son extorsionadas activamente, destacando la publicidad de sus ataques y usándolos como un método de extorsión adicional.
Si las víctimas no pagan un rescate a los delincuentes informáticos, sus datos se venden a otros actores de amenazas. Si nadie está interesado en comprarlo, el conjunto de datos robado se publica en el sitio de Tor.
La extraña historia de origen del grupo
RansomHouse tiene una historia de origen algo extraña, con la organización mencionada por primera vez dentro de las notas de rescate de White Rabbit, pero los actores sostuvieron que solo colaboraron con la pandilla de ransomware y que nunca utilizaron ransomware ellos mismos.
En un informe publicado hoy por Cyberint, los analistas encontraron publicaciones de Telegram que promocionaban RansomHouse en el canal de Telegram de la pandilla Lapsus$. Esto indica que los actores de amenazas están igualmente interesados en vender datos a otros actores de amenazas, así como a la víctima.
Como tal, aunque los orígenes de RansomHouse se desconocen en este momento, el grupo no ha surgido como una entidad completamente independiente, sino más bien dentro de otros grupos de amenazas.
Cyberint afirma haber examinado exhaustivamente las comunicaciones de los miembros principales de RansomHouse con otros actores de amenazas en los canales de Telegram e informó haber visto una conducta profesional.
“Hablan cortésmente tanto en su blog como en varios canales de Telegram y no se dejan llevar por discusiones irrelevantes. Además, dicen ser muy liberales y pro-libertades. No quieren mezclar negocios y política y anunciaron que nunca trabajarían con hacktivistas radicales o grupos de espionaje”, explica el informe de Cyberint.
Esto hace que los analistas de Cyberint crean que RansomHouse es un proyecto lanzado equipos de Red Team descontentos que están hartos de los pagos de recompensas bajos y la mala planificación de la seguridad cibernética en general.
Cifrado
Cyberint afirma que RansomHouse solo roba los datos y maneja las negociaciones o ventas a otros delincuentes. Además, la nueva operación dice que no realizan el cifrado mediante una variedad de ransomware, por lo que la extorsión se basa únicamente en la amenaza de exponer los archivos robados.
Esto explicaría por qué el grupo afirmó anteriormente que es una plataforma para varias pandillas de ransomware, incluido White Rabbit, que en realidad se involucra en el cifrado.
Sin embargo, curiosamente, la palabra “encriptado” está presente en el sitio de RansomHouse Onion, lo que indica que las organizaciones víctimas han cifrado sus datos, por lo que esa parte es discutible.
Por ahora, esta nueva operación es pequeña y cuenta solo con cuatro víctimas que Bleeping Computer aún está en proceso de verificación.
Es dudoso que RansomHouse se convierta en un peligro a gran escala en el corto plazo, pero el lanzamiento de cualquier portal de extorsión debería ser una preocupación para todos los administradores de redes y seguridad.
Fuente: https://www.tecnovan.com/acceso/post.php?post=9460&action=edit