Desde sua criação em fevereiro de 2024, o grupo de ransomware RansomHub já atacou pelo menos 210 vítimas, abrangendo diversos setores críticos, como abastecimento de água e esgoto, tecnologia da informação, serviços governamentais, saúde pública, serviços de emergência, alimentação e agricultura, serviços financeiros, instalações comerciais, manufatura crítica, transporte e infraestrutura de comunicações, de acordo com o governo dos EUA.
O RansomHub é uma variante de ransomware como serviço (RaaS) que evoluiu a partir das ameaças conhecidas como Cyclops e Knight. Nos últimos meses, essa operação atraiu afiliados de alto perfil de outros grupos proeminentes. A atividade do RansomHub tem aumentado significativamente, representando cerca de 2% de todos os ataques de ransomware observados no primeiro trimestre de 2024, 5,1% no segundo trimestre e 14,2% até agora no terceiro trimestre. Além disso, cerca de 34% dos ataques do RansomHub têm como alvo organizações na Europa, um percentual mais elevado do que o observado em outras ameaças.
O grupo é conhecido por utilizar o modelo de dupla extorsão, onde dados são exfiltrados e os sistemas das vítimas são criptografados para forçar o pagamento de resgate. As empresas visadas que se recusam a pagar têm suas informações publicadas em um site de vazamento de dados, onde ficam disponíveis por períodos que variam de 3 a 90 dias. O acesso inicial aos ambientes das vítimas é frequentemente facilitado pela exploração de vulnerabilidades conhecidas em sistemas como Apache ActiveMQ (CVE-2023-46604), Atlassian Confluence (CVE-2023-22515), Citrix ADC (CVE-2023-3519), F5 BIG-IP (CVE-2023-46747), Fortinet FortiOS (CVE-2023-27997) e Fortinet FortiClientEMS (CVE-2023-48788), entre outros.
Um aspecto notável dos ataques do RansomHub é o uso de criptografia intermitente para acelerar o processo de comprometimento dos dados, com a exfiltração sendo realizada através de ferramentas como PuTTY, Amazon AWS S3 buckets, solicitações HTTP POST, WinSCP, Rclone, Cobalt Strike, Metasploit, entre outros.