RansomHub
RansomHub war eine ransomware(RaaS), die zuvor unter den Namen Cyclops und Knight bekannt war.
Der Ursprung von RansomHub
Die Gruppe tauchte im Februar 2024 auf und hat Daten von über 210 Opfern verschlüsselt und exfiltriert, wobei sie sich hochkarätiger Partner aus anderen ransomware wie LockBit und ALPHV bediente . Die Vorgehensweise von RansomHub konzentrierte sich auf ein doppeltes Erpressungsmodell, bei dem Partner Systeme verschlüsseln und Daten exfiltrieren und damit drohen, gestohlene Daten zu veröffentlichen, wenn keine Lösegeldzahlungen erfolgen. Die Gruppe war für ihre Professionalität und technische Raffinesse bekannt. RansomHub wurde zuletzt im März 2025 gesehen.
Von RansomHub anvisierte Länder
RansomHub hatte eine globale Reichweite, wobei die Opfer hauptsächlich in den Vereinigten Staaten und Europa zu finden waren und der Fokus auf kritischer Infrastruktur und Schlüsselindustrien lag.
Die Gruppe gab an, die Gemeinschaft Unabhängiger Staaten (GUS), Kuba, Nordkorea und China nicht ins Visier zu nehmen, wahrscheinlich aufgrund operativer Rückzugsgebiete oder rechtlicher Schutzmaßnahmen.
Zielbranchen von RansomHub
RansomHub zielt auf ein breites Spektrum von Branchen ab, wobei die wichtigsten Sektoren Unternehmensdienstleistungen, Einzelhandel und Fertigung sind. Weitere häufig betroffene Branchen sind Bildungsdienste, Behörden, Finanzen, Bauwesen, Gesundheitswesen, Technologie und kritische Infrastrukturen. Die Fokussierung der Gruppe auf kritische Sektoren unterstreicht ihren breiten Aktionsradius, der sowohl für öffentliche als auch für private Einrichtungen eine erhebliche Bedrohung darstellt.
Trotz der Effizienz der Gruppe behaupten sie, dass sie nicht auf gemeinnützige Organisationen abzielen.
Die Opfer von RansomHub
Seit seiner Entstehung sind über 844 Organisationen Opfer von RansomHub geworden, wobei der Schwerpunkt auf öffentlicher Infrastruktur liegt, darunter Gesundheitssysteme und staatliche Einrichtungen. Diese Angriffe haben wichtige Dienste gestört, was zu erheblichen Betriebsausfällen und hohen Lösegeldforderungen geführt hat.
Die Angriffsmethode von RansomHub
Die RansomHub-Partner verschafften sich Zugang über phishing , indem sie Schwachstellen ausnutzten und Passwort-Spraying einsetzten. Zu den häufig ausgenutzten Schwachstellen gehören CVE-2023-3519 (Citrix ADC), CVE-2023-27997 (Fortinet) und CVE-2020-1472 (Netlogon-Privilegieneskalation).
Einmal im System, erweiterten die Angreifer ihre Berechtigungen mit Tools wie Mimikatz und erlangten so die vollständige Kontrolle über die kompromittierten Systeme.
Sie deaktivierten Sicherheitstools, löschten Protokolle und benannten ransomware um, um sie in Systemdateien zu integrieren und so einer Erkennung zu entgehen.
Mithilfe von Tools zum Auslesen von Anmeldedaten und Passwort-Spraying sammelten die Partner administrative Anmeldedaten, um Zugriff auf hochwertige Systeme zu erhalten.
Die Netzwerkreconnaissance wurde mit Tools wie Nmap und PowerShell durchgeführt, um wertvolle Ziele zu identifizieren und weitere Ausnutzungsmöglichkeiten zu planen.
Die Affiliates bewegten sich mithilfe von Tools wie Remote Desktop Protocol (RDP), PsExec und AnyDesk seitlich und verschafften sich so Zugang zu weiteren Systemen innerhalb des Netzwerks.
Sensible Daten wurden mithilfe von Tools wie Rclone und WinSCP exfiltriert, häufig zum Zweck der doppelten Erpressung, wobei die gestohlenen Daten als Druckmittel in Lösegeldverhandlungen eingesetzt wurden.
Die ransomware im gesamten Netzwerk des Opfers ausgeführt und verschlüsselte Dateien mit der elliptischen Kurvenverschlüsselung Curve 25519.
Die Daten wurden über verschlüsselte Protokolle, cloud oder direkte Übertragungen an vom Angreifer kontrollierte Server exfiltriert.
Die Verschlüsselung durch RansomHub machte die Systeme der Opfer unbrauchbar, was oft zu erheblichen Betriebsausfällen führte. Die Partner löschten Backups und Volumenschattenkopien, um Wiederherstellungsversuche zu verhindern und so den Druck auf die Opfer zu maximieren, das Lösegeld zu zahlen.
Die RansomHub-Partner verschafften sich Zugang über phishing , indem sie Schwachstellen ausnutzten und Passwort-Spraying einsetzten. Zu den häufig ausgenutzten Schwachstellen gehören CVE-2023-3519 (Citrix ADC), CVE-2023-27997 (Fortinet) und CVE-2020-1472 (Netlogon-Privilegieneskalation).
Einmal im System, erweiterten die Angreifer ihre Berechtigungen mit Tools wie Mimikatz und erlangten so die vollständige Kontrolle über die kompromittierten Systeme.
Sie deaktivierten Sicherheitstools, löschten Protokolle und benannten ransomware um, um sie in Systemdateien zu integrieren und so einer Erkennung zu entgehen.
Mithilfe von Tools zum Auslesen von Anmeldedaten und Passwort-Spraying sammelten die Partner administrative Anmeldedaten, um Zugriff auf hochwertige Systeme zu erhalten.
Die Netzwerkreconnaissance wurde mit Tools wie Nmap und PowerShell durchgeführt, um wertvolle Ziele zu identifizieren und weitere Ausnutzungsmöglichkeiten zu planen.
Die Affiliates bewegten sich mithilfe von Tools wie Remote Desktop Protocol (RDP), PsExec und AnyDesk seitlich und verschafften sich so Zugang zu weiteren Systemen innerhalb des Netzwerks.
Sensible Daten wurden mithilfe von Tools wie Rclone und WinSCP exfiltriert, häufig zum Zweck der doppelten Erpressung, wobei die gestohlenen Daten als Druckmittel in Lösegeldverhandlungen eingesetzt wurden.
Die ransomware im gesamten Netzwerk des Opfers ausgeführt und verschlüsselte Dateien mit der elliptischen Kurvenverschlüsselung Curve 25519.
Die Daten wurden über verschlüsselte Protokolle, cloud oder direkte Übertragungen an vom Angreifer kontrollierte Server exfiltriert.
Die Verschlüsselung durch RansomHub machte die Systeme der Opfer unbrauchbar, was oft zu erheblichen Betriebsausfällen führte. Die Partner löschten Backups und Volumenschattenkopien, um Wiederherstellungsversuche zu verhindern und so den Druck auf die Opfer zu maximieren, das Lösegeld zu zahlen.
Von RansomHub verwendete TTPs
So erkennen Sie Bedrohungsakteure mit Vectra AI
Häufig gestellte Fragen
Welche Branchen sind die Hauptzielgruppen von RansomHub?
RansomHub greift kritische Infrastrukturbereiche wie das Gesundheitswesen, Finanzdienstleistungen und Regierungseinrichtungen an.
Welche Länder sind am meisten von RansomHub betroffen?
Die Gruppe zielt in erster Linie auf Organisationen in den Vereinigten Staaten und Europa ab und meidet die GUS-Länder, Kuba, Nordkorea und China.
Wie verschafft sich RansomHub den ersten Zugang?
Affiliates nutzen bekannte Schwachstellen aus, verwenden phishing Angriffe und setzen gestohlene Zugangsdaten ein, um in Systeme einzudringen.
Was sind die Methoden von RansomHub zur Datenexfiltration?
Sie verwenden Tools wie Rclone und WinSCP, um sensible Daten über verschlüsselte Kanäle zu exfiltrieren.
Wie erweitert RansomHub die Privilegien innerhalb eines Netzwerks?
Affiliates verwenden Tools wie Mimikatz, um Anmeldedaten zu extrahieren und sich auf Systemebene zu privilegieren.
Welche Verschlüsselungsmethode verwendet RansomHub?
Die Partner von RansomHub verwenden die elliptische Kurve 25519, um die Dateien der Opfer zu verschlüsseln.
Wie entgehen die RansomHub-Partner der Entdeckung?
Sie deaktivieren Sicherheitsprogramme, löschen Protokolle und benennen die ausführbaren Dateien von ransomware um, um sie mit legitimen Dateien zu verwechseln.
Welche Werkzeuge verwendet RansomHub für die seitliche Bewegung?
Tools wie Remote Desktop Protocol (RDP), AnyDesk und PsExec werden verwendet, um sich seitlich in kompromittierten Netzwerken zu bewegen.
Welche Strategien zur Schadensbegrenzung können helfen, RansomHub-Angriffe zu verhindern?
Die Implementierung einer phishing-resistenten Multi-Faktor-Authentifizierung (MFA), das Patchen von Schwachstellen und die Segmentierung von Netzwerken sind wichtige Strategien zur Eindämmung.
Was sind die Auswirkungen eines RansomHub-Angriffs?
Die Opfer erleben oft erhebliche Ausfallzeiten und Datenverluste aufgrund der Verschlüsselung und der Löschung von Sicherungskopien, was zu einer Lähmung des Betriebs und hohen Lösegeldforderungen führt.