Η κυβέρνηση του Μεξικού έγινε στόχος μιας φερόμενης επίθεσης ransomware από τη συμμορία RansomHub, η οποία ισχυρίζεται ότι παραβίασε τον ομοσπονδιακό ιστότοπο gob.mx.
Η ομάδα ανακοίνωσε την επίθεση στο ιστολόγιό της, ισχυριζόμενη ότι απέκτησε 313 GB δεδομένων από τους διακομιστές του ιστότοπου.
Οι χάκερς απαιτούν λύτρα, απειλώντας να δημοσιοποιήσουν τα κλεμμένα αρχεία, τα οποία περιλαμβάνουν συμβάσεις, ασφαλιστικά, οικονομικά και εμπιστευτικά έγγραφα. Έχουν ήδη δημοσιεύσει δείγματα αρχείων με προσωπικές πληροφορίες ομοσπονδιακών υπαλλήλων, όπως ονόματα, τίτλους εργασίας, φωτογραφίες, email και τηλέφωνα.
Διαβάστε περισσότερα: NoName ransomware: “Συνεργασία” με την ομάδα RansomHub;
Επιπλέον, έχουν δημοσιεύσει υπογεγραμμένα κυβερνητικά έγγραφα, συμπεριλαμβάνοντας συμβάσεις αξίας περίπου 100.000 δολαρίων.
Το Palacio Nacional εμφανίζεται ως η διεύθυνση εργασίας πολλών επηρεασμένων υπαλλήλων. Η συμμορία έχει δώσει διορία δέκα ημερών για την πληρωμή των λύτρων πριν από τη δημοσίευση των δεδομένων.
Τι είναι το RansomHub;
Δείτε επίσης: Το RansomHub εισάγει το εργαλείο αποφυγής ανίχνευσης EDRKillShifter
Το RansomHub είναι μια σχετικά νέα παρουσία στο οικοσύστημα του ransomware, με την πρώτη του επίθεση να καταγράφεται στις 26 Φεβρουαρίου 2024. Η ταχεία άνοδός του έχει τραβήξει την προσοχή των αρχών, όπως καταδεικνύεται από τις προειδοποιήσεις της CISA και του FBI στις 30 Αυγούστου. Το RansomHub έχει καταταχθεί ως η τρίτη πιο παραγωγική ομάδα ransomware για το πρώτο εξάμηνο του 2024, ενισχύοντας εικασίες για συνδέσεις με καθιερωμένους παίκτες όπως η BlackCat.
Τον Σεπτέμβριο του 2024, το RansomHub θεωρείται υπεύθυνο για σχεδόν το ένα πέμπτο των επιθέσεων ransomware, περιλαμβάνοντας τις εταιρείες Kawasaki Motors Europe και Planned Parenthood of Montana. Η CISA έχει εντοπίσει τουλάχιστον 210 θύματα από τον Φεβρουάριο, με ρυθμό σχεδόν ένα την ημέρα. Τα θύματα περιλαμβάνουν οργανισμούς από ζωτικής σημασίας υποδομές έως ιδιωτικές εταιρείες, όπως η Halliburton και η αλυσίδα φαρμακείων Rite Aid.
Διαβάστε περισσότερα: Η RansomHub πίσω από την επίθεση στην Planned Parenthood;
Το RansomHub χρησιμοποιεί ένα μοντέλο ransomware-as-a-service (RaaS) και τακτικές διπλού εκβιασμού, κερδίζοντας έδαφος μετά τη μαζική παραβίαση της εταιρείας UnitedHealth’s Change Healthcare από την ομάδα ALPHV/BlackCat. Το RansomHub, φερόμενο ως θυγατρική της ALPHV/BlackCat, δημοσίευσε αρχεία που αποκτήθηκαν από την επίθεση στο Change Healthcare.
Η ομάδα στρατολογεί θυγατρικές μέσω φόρουμ του σκοτεινού ιστού, προσφέροντας προκαθορισμένη χρέωση 10% και τη δυνατότητα συλλογής πληρωμών λύτρων απευθείας από τα θύματα. Αυτό το μοντέλο συνεργασίας θεωρείται απάντηση στη συνταξιοδότηση της BlackCat, που προκάλεσε προβλήματα κατανομής των λύτρων μεταξύ των ομάδων.
Δείτε ακόμη: Η RansomHub ξεπερνά την LockBit ως η πιο παραγωγική ομάδα Ransomware
Παράλληλα, το report δείχνει ότι τα περισσότερα θύματα του RansomHub είναι στις Ηνωμένες Πολιτείες. Η δομή της ομάδας μοιάζει με αυτή των παραδοσιακών ρωσικών συμμοριών ransomware, αποφεύγοντας στόχους στη Ρωσία και άλλες χώρες που υποστηρίζονται από το Κρεμλίνο. Μεταξύ των θυμάτων περιλαμβάνονται η Clevo, ο οίκος δημοπρασιών Christie’s και ο πάροχος Internet Frontier.
Πηγή: cybernews
