Desde que surgiu em fevereiro de 2024, o ransomware RansomHub já atingiu mais de 200 vítimas em vários setores críticos de infraestrutura nos Estados Unidos. Essa nova operação de ransomware como serviço (RaaS) tem se destacado por extorquir suas vítimas em troca de não vazar arquivos roubados. Caso as negociações fracassem, os documentos são vendidos ao maior lance. Diferente de outros grupos, o RansomHub foca mais na extorsão baseada em roubo de dados do que na criptografia dos arquivos das vítimas, embora também tenham sido identificados como potenciais compradores do código-fonte do ransomware Knight.

Desde o início do ano, o RansomHub assumiu a responsabilidade por ataques a várias organizações nos EUA, incluindo a cooperativa de crédito Patelco, a rede de farmácias Rite Aid, a casa de leilões Christie’s, a provedora de telecomunicações Frontier Communications e a gigante de serviços de petróleo Halliburton. Em um dos casos mais graves, a Frontier Communications teve que alertar mais de 750 mil clientes sobre a exposição de suas informações pessoais. Em um comunicado conjunto, o FBI e a CISA confirmaram que os atores por trás do RansomHub usam táticas de dupla extorsão.

Eles alertam que o grupo, anteriormente conhecido como Cyclops e Knight, tem se estabelecido como um modelo de serviço eficiente e bem-sucedido, atraindo afiliados de outras variantes proeminentes, como LockBit e ALPHV. Desde fevereiro de 2024, o RansomHub já criptografou e exfiltrou dados de pelo menos 210 vítimas em setores de infraestrutura crítica, como abastecimento de água, tecnologia da informação, serviços governamentais, saúde, serviços de emergência, alimentos e agricultura, serviços financeiros, instalações comerciais, manufatura crítica, transporte e comunicações.