Los investigadores de ciberseguridad han revelado que la infraestructura en cadena de Ransomhub se ha desconectado «inexplicablemente» a partir del 1 de abril de 2025, lo que provocó preocupaciones entre los afiliados de la operación de ransomware como servicio (RAAS).
La compañía de seguridad cibernética singapurense del Comunidad-IB dijo que esto puede acaecer hecho que los afiliados migraran a Qilin, poliedro que «las divulgaciones en su DLS (sitio de fuga de datos) se han duplicado desde febrero».
Se estima que Ransomhub, que surgió por primera vez en febrero de 2024, ha robado datos de más de 200 víctimas. Reemplazó a dos grupos Raas de suspensión perfil, Lockbit y Blackcat, para convertirse en un protegido, cortejando a sus afiliados, incluidos Spider y Evil Corp dispersos, con divisiones de pagos lucrativos.
«Tras una posible adquisición de la aplicación web y el código fuente de ransomware de Knight (anteriormente Cyclops), Ransomhub se elevó rápidamente en la imagen de ransomware, gracias a las características dinámicas de su secreto multiplataforma y un maniquí agresivo y entrañable con los que ofrecen incentivos financieros sustanciales, dijo Group-IB en un documentación.
El ransomware de RansomHub está diseñado para funcionar en Windows, Linux, FreeBSD y ESXI, así como en arquitecturas X86, X64 y ARM, al tiempo que evita a las empresas atacantes ubicadas en la Comunidad de Estados Independientes (CIS), Cuba, Corea del Ideal y China. Asimismo puede sintetizar sistemas de archivos locales y remotos a través de SMB y SFTP.
El panel de afiliados, que se utiliza para configurar el ransomware a través de una interfaz web, presenta una sección de «miembros» dedicada donde los miembros del agrupación de afiliados tienen la opción de crear sus propias cuentas en el dispositivo.
Los afiliados además se les ha proporcionado un módulo «desfavorable» al menos de junio de 2024 para terminar y evitar el software de seguridad utilizando controladores vulnerables conocidos (BYOVD). Sin requisa, la utensilio se ha suspendido desde entonces adecuado a altas tasas de detección.
Según Esentire y Trend Micro, los ataques cibernéticos además se han observado aprovechando un malware JavaScript conocido como Socgholish (además conocido como FakeUpdates) a través de sitios comprometidos de WordPress para desplegar una puerta trasera basada en Python conectada a las afiliadas de Ransomhub.
«El 25 de noviembre, los operadores del agrupación publicaron una nueva nota en su panel de afiliados anunciando que cualquier ataque contra cualquier institución estatal está estrictamente prohibido», dijo la compañía. «Por lo tanto, se invitó a todos los afiliados a apartarse de tales actos adecuado al suspensión peligro y el ‘retorno de la inversión'».
La prisión de eventos a posteriori del tiempo de inactividad de la infraestructura de Ransomhub, según la seguridad de GuidePoint, ha llevado a un «disturbio de afiliados», con el agrupación rival Raas DragonForce reclamando en el foro de rampas que Ransomhub «decidió advenir a nuestra infraestructura» bajo un nuevo «Cartel de ransmware de Dragonforce».
Vale la pena señalar que se evalúa que otro actor de Raas llamado Blacklock ha comenzado a colaborar con Dragonforce a posteriori de que este postrer desfiguró su sitio de fuga de datos a fines de marzo de 2025.
«Estas discusiones en los foros de RAMP destacan el entorno incierto en el que los afiliados de Ransomhub parecen estar en este momento, aparentemente desconocidos del estado del agrupación y su propio estado en medio de una posible ‘adquisición'», dijo Guidepoint Security.
«Queda por ver si esta inestabilidad significará el principio del fin de Ransomhub, aunque no podemos evitar tener en cuenta que el agrupación que saltó a la triunfo prometiendo estabilidad y seguridad para los afiliados ahora puede acaecer fallado o traicionado a los afiliados en entreambos cargos».
Secureworks Counter Amenaza (CTU), que además ha rastreado el cambio de marca de Dragonforce como un «cartel», dijo que el esfuerzo es parte de un nuevo maniquí de negocio diseñado para atraer a los afiliados y aumentar las ganancias al permitir que los afiliados creen sus propias «marcas».
Esto es diferente de un esquema RAAS tradicional donde los desarrolladores centrales establecen la infraestructura web oscura y reclutan afiliados de la subterránea del delito cibernético, que luego realizan los ataques a posteriori de lograr ataque a las redes objetivo de un corredor de ataque original (IAB) a cambio de el 70% del cuota del rescate.
«En este maniquí, Dragonforce proporciona su infraestructura y herramientas, pero no requiere que los afiliados implementen su ransomware», dijo la compañía propiedad de Sophos. «Las características anunciadas incluyen paneles de distribución y clientes, herramientas de secreto y negociación de rescate, un sistema de almacenamiento de archivos, un sitio de fuga basado en Tor y un dominio .donión y servicios de soporte».
ProDaft le dijo a The Hacker News que las operaciones de Ransomhub se estancaron a principios de abril adecuado a «muchos miembros que se van», una señal de que el sindicato Raas puede estar cerrando o preparándose para un cambio de marca.
«Casi al mismo tiempo, Dragonforce anunció la formación de un cartel de ransomware», dijo la compañía. «Asimismo sabemos que algunos actores de amenazas afiliados a Ransomhub ya se han unido a otros grupos. Por ejemplo, el agrupación de ransomware Vanhelsing fue creado por antiguos afiliados de Ransomhub, mientras que otros han comenzado a usar diferentes variantes de ransomware. Por postrer, Ransombay ahora se ejecuta en sistemas de Dragonforce».
Otro agrupación de ransomware para adoptar tácticas novedosas es ANUBIS, que surgió en febrero de 2025 y utiliza una opción de molestia de «rescate de datos» para profesar presión sobre las víctimas al amenazar con informar un «artículo de investigación» que contiene un investigación de los datos robados y las autoridades regulatorias o de cumplimiento del incidente.
«A medida que el ecosistema de ransomware continúa flexionándose y adaptando, estamos viendo una experimentación más amplia con diferentes modelos operativos», dijo Rafe Pilling, directora de inteligencia de amenazas de Secureworks CTU. «Lockbit había dominado el esquema de afiliados, pero a raíz de la acto de ejecución contra ellos, no es sorprendente ver que se prueben y prueben nuevos esquemas y métodos».
El explicación coincide con la aparición de una nueva clan de ransomware señal Elenor-Corp, una cambio del ransomware MIMIC, que se dirige activamente a las organizaciones de atención médica a posteriori de cosechar credenciales utilizando un ejecutable de Python capaz de robar contenido de portapapeles.
«La cambio Elenor-Corp del ransomware MIMIC exhibe mejoras en comparación con versiones anteriores, que emplea medidas anti-forenses sofisticadas, manipulación de procesos y estrategias de secreto», dijo el investigador de Morphisec, Michael Gorelik.
«Este investigación destaca la sofisticación en cambio de los ataques de ransomware, enfatizando la aprieto de defensas proactivas, respuesta de incidentes rápidos y estrategias de recuperación sólidas en industrias de suspensión peligro como la atención médica».
Anubis y Elenor -Corp se encuentran entre una nueva cosecha de actores de ransomware que han energizado el paisaje, incluso cuando la amenaza persistente muestra signos de astillado en grupos más pequeños y con frecuencia se vuelve a marca para esquivar el exploración y perdurar la continuidad operativa, lo que refleja un «cambio más amplio con destino a la sigilo y la flexibilidad» – – – – – – – – –
- Crazyhunterque se ha dirigido a los sectores de lozanía, educación y industriales taiwaneses y utiliza técnicas BYOVD para eludir las medidas de seguridad a través de una utensilio de código franco señal Zammocide
- elíseouna nueva cambio de la clan de ransomware aparecido (además conocido como categoría) que termina una letanía de servicios codificados, deshabilita las copias de seguridad del sistema, elimina las copias de la sombra y modifica la política de estado del inicio para que la recuperación del sistema sea más difícil
- NIEBLAque ha abusado del nombre del Área de Eficiencia del Gobierno de los Estados Unidos (DOGE), y las personas conectadas con la iniciativa del gobierno en correo electrónico y ataques de phishing para distribuir archivos zip con malware que entregan el ransomware
- Hellcatque ha explotado las vulnerabilidades de día cero, como las de Atlassian Jira, para obtener ataque original
- Cazadores internacionalesque ha cambiado y animado una operación de solo molestia conocida como fugas mundiales al hacer uso de un software de exfiltración de datos a medida
- Entrelazarque ha trabajador la infame logística de ClickFix para iniciar una prisión de ataque de varias etapas que despliega la carga útil de ransomware, inmediato con una puerta trasera señal RAT de soledad y robadores como Lumma y Berserkstealer
- Hacerque ha empleado un correo electrónico de phishing disfrazado de alertas de autenticación Screenconnect para violar un proveedor de servicios administrado (MSP) utilizando un kit de phishing AITM y propalar ataques de ransomware a sus clientes (atribuido a una afiliada señal STAC4365)
Estas campañas sirven para resaltar la naturaleza en constante cambio del ransomware y demostrar la capacidad de la amenaza de los actores de innovar frente a las interrupciones y fugas de la aplicación de la ley.
De hecho, un nuevo investigación de los 200,000 mensajes internos de chat de Black Puntada del Foro de Respuesta a Incidentes y Equipos de Seguridad (primero) ha revelado cómo el agrupación de ransomware realiza sus operaciones, centrándose en técnicas avanzadas de ingeniería social y explotando vulnerabilidades de VPN.
«Un miembro conocido como ‘Nur’ tiene la tarea de identificar objetivos esencia adentro de las organizaciones que apuntan a atacar», dijo First. «Una vez que ubican a una persona de influencia (como un apoderado o personal de capital humanos), inician el contacto a través de la señal telefónica».
(La historia se actualizó a posteriori de la publicación para incluir ideas adicionales compartidas por ProDaft en la operación RansomHub).
