Sejak muncul pada Februari 2024, afiliasi ransomware RansomHub telah menyerang lebih dari 200 korban dari berbagai sektor infrastruktur penting AS.
Operasi ransomware-as-a-service (RaaS) yang relatif baru ini memeras korban dengan imbalan tidak membocorkan file yang dicuri dan menjual dokumen tersebut kepada penawar tertinggi jika negosiasi gagal. Kelompok ransomware ini berfokus pada pemerasan berbasis pencurian data daripada mengenkripsi file korban, meskipun mereka juga diidentifikasi sebagai pembeli potensial kode sumber ransomware Knight.
Sejak awal tahun, RansomHub telah mengklaim bertanggung jawab atas pelanggaran serikat kredit nirlaba Amerika Bahasa Indonesia: Patelcoitu Bantuan Ritus rantai toko obat, Christie’s rumah lelang, penyedia telekomunikasi AS Komunikasi Perbatasandan raksasa jasa minyak HalliburtonFrontier Communications kemudian memperingatkan lebih dari 750.000 pelanggan informasi pribadi mereka terungkap dalam pelanggaran data.
Situs kebocoran data RansomHub juga kebocoran data Change Healthcare yang dicuri setelah operasi ransomware BlackCat/ALPHV ditutup.
Sebuah nasihat bersama yang dirilis hari ini oleh FBI, CISA, Pusat Analisis dan Pembagian Informasi Multi-Negara (MS-ISAC), dan Departemen Kesehatan dan Layanan Kemanusiaan (HHS) juga mengonfirmasi bahwa pelaku ancaman menargetkan korban mereka dalam serangan pemerasan ganda.
Badan-badan federal mengatakan RansomHub (sebelumnya dikenal sebagai Cyclops dan Knight) “telah memantapkan dirinya sebagai model layanan yang efisien dan sukses (baru-baru ini menarik afiliasi terkenal dari varian terkemuka lainnya seperti LockBit dan ALPHV).”
“Sejak diluncurkan pada Februari 2024, RansomHub telah mengenkripsi dan mengekstrak data dari sedikitnya 210 korban yang mewakili sektor air dan air limbah, teknologi informasi, layanan dan fasilitas pemerintah, perawatan kesehatan dan kesehatan masyarakat, layanan darurat, pangan dan pertanian, layanan keuangan, fasilitas komersial, manufaktur penting, transportasi, dan infrastruktur komunikasi penting,” tambah penasihat tersebut.
Keempat lembaga penyusun menyarankan para pembela jaringan untuk menerapkan rekomendasi dalam nasihat hari ini guna mengurangi risiko dan dampak serangan ransomware RansomHub.
Mereka harus fokus pada perbaikan kerentanan yang sudah dieksploitasi di luar sana dan menggunakan kata sandi yang kuat serta autentikasi multifaktor (MFA) untuk webmail, VPN, dan akun yang terhubung ke sistem penting. Disarankan juga untuk selalu memperbarui perangkat lunak dan melakukan penilaian kerentanan sebagai bagian standar dari protokol keamanan.
Keempat lembaga tersebut juga menyediakan indikator kompromi (IOC) RansomHub dan informasi tentang taktik, teknik, dan prosedur (TTP) afiliasi mereka yang diidentifikasi selama investigasi FBI baru-baru ini pada Agustus 2024.
“Organisasi pembuat tidak menganjurkan pembayaran tebusan, karena pembayaran tidak menjamin file korban akan dipulihkan,” lembaga federal menambahkan.
“Selain itu, pembayaran juga dapat membuat pelaku kejahatan semakin berani menyerang organisasi lain, mendorong pelaku kejahatan lain untuk terlibat dalam penyebaran ransomware, dan/atau mendanai kegiatan terlarang.”
Pembaruan: Menambahkan Halliburton ke daftar korban sebelumnya.
