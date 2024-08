Sinds begin van dit jaar zijn honderden organisaties getroffen door de RansomHub-ransomware, waaronder organisaties in de vitale infrastructuur, zo stellen de FBI, het Amerikaanse cyberagentschap CISA en het ministerie van Volksgezondheid in een gezamenlijke waarschuwing. De ontwikkelaars achter RansomHub hanteren een Ransomware-as-a-Service (RaaS) model.

Door middel van RaaS kunnen criminelen op eenvoudige wijze over ransomware beschikken, waarbij er een deel van de inkomsten naar de ontwikkelaar van de ransomware gaat. Criminelen moeten in dit geval de ransomware nog wel zelf verspreiden. Voor de verspreiding van de ransomware maken de partners van RansomHub gebruik van phishingmails, bekende kwetsbaarheden in onder andere Citrix ADC, FortiOS en Confluence Data Center, en password spraying.

Zodra de aanvallers toegang tot een netwerk hebben worden eerst allerlei gegevens gestolen. Daarna pas wordt de ransomware uitgerold. Als organisaties niet betalen dreigen de aanvallers de gestolen data via hun eigen website openbaar te maken. Volgens de waarschuwing zijn sinds begin dit jaar zeker 210 organisaties in allerlei sectoren slachtoffer van RansomHub geworden.

In de waarschuwing beschrijven de Amerikaanse overheidsdiensten de werkwijze van RansomHub-partners en geven ook Indicators of Compromise, waarmee organisaties een aanval kunnen detecteren of onderzoeken of ze mogelijk al gecompromitteerd zijn. Tevens wordt aangeraden beveiligingsupdates tijdig te installeren, phishingbestendige multifactorauthenticatie (MFA) te gebruiken en personeel te trainen om phishing te herkennen en te rapporteren.