Федеральное бюро расследований выступило накануне с официальным заявлением о деятельности хакерской группировки RansomHub, обвинив её в проведении как минимум 210 атак против различных организаций из разных отраслей в 2024 году. В ведомстве уточнили, что злоумышленники атаковали более 200 жертв из самых разных критически важных секторов инфраструктуры США.
Эксперты отмечают, что RansomHub — это относительно новая операция типа ransomware-as-a-service (RaaS), в рамках которой хакеры вымогают деньги у жертв в обмен на обещание не разглашать украденные файлы.
Если переговоры с атакованной организацией не увенчаются успехом, злоумышленники продают украденные данные тому, кто предложит самую высокую цену. Группа фокусируется на вымогательстве, основанном на краже данных, а не на шифровании файлов жертв, хотя они также были идентифицированы как потенциальные покупатели исходного кода Knight ransomware.
ФБР указало, что с начала 2024 года хакерская группировка RansomHub взяла на себя ответственность за взлом таких организаций, как американский некоммерческий кредитный союз Patelco, сеть аптек Rite Aid, аукционный дом Christie’s и американский телекоммуникационный провайдер Frontier Communications. Позднее Frontier Communications предупредил более 750 000 клиентов о том, что их персональные данные были раскрыты в результате утечки данных.
Совместный информационный бюллетень, опубликованный ФБР, CISA, Центром обмена и анализа информации между штатами (MS-ISAC) и Министерством здравоохранения и социальных служб (HHS), также подтверждает, что злоумышленники из RansomHub выбирают своих жертв для проведения двойных вымогательских атак.
Федеральные агентства США заявили, что группировка RansomHub (ранее известная как Cyclops и Knight) «зарекомендовала себя как эффективная и успешная модель обслуживания, недавно привлекшая известных партнёров из других известных вариантов, таких как LockBit и ALPHV».