Vectra AI wird im Gartner Magic Quadrant 2025 für Network Detection and Response (NDR) als führend eingestuft. >
NEU

Vectra AI wird im Gartner Magic Quadrant 2025 für Network Detection and Response (NDR) als Leader eingestuft. Bericht herunterladen. >

Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Hamburger-Symbol oberste Zeile
Hamburger-Symbol mittlere Zeile
Hamburger Symbol unterste Zeile
Ransomware Gruppe

RansomHub

  1. Status:
    Inactive
  1. Status:
    Inactive

RansomHub was a ransomware-as-a-service (RaaS) variant, previously known as Cyclops and Knight.

Die TTPs von RansomHub erkennen
Is Your Organization Safe from Cyber Attacks?
Hintergrund und Ziele
TTPs
MITRE Kartierung
Erkennung
Häufig gestellte Fragen
Watch Threat Briefing
HINTERGRUND
LÄNDER
INDUSTRIEN
VICTIMS

Der Ursprung von RansomHub

Emerging in February 2024, the group has encrypted and exfiltrated data from over 210 victims, leveraging high-profile affiliates from other ransomware groups such as LockBit and ALPHV. RansomHub's operation focused on a double extortion model, where affiliates encrypt systems and exfiltrate data, threatening to publish stolen data if ransoms are not paid. The group was known for its professionalism and technical sophistication. RansomHub was last seen in March 2025.

Quelle: OCD

Von RansomHub anvisierte Länder

RansomHub had a global reach, with victims primarily in the United States and Europe, focusing on critical infrastructure and key industries.

The group claimed to avoid targeting the Commonwealth of Independent States (CIS), Cuba, North Korea, and China, likely due to operational safe havens or legal protections.

Quelle der Abbildung: Cyberint

Zielbranchen von RansomHub

RansomHub zielt auf ein breites Spektrum von Branchen ab, wobei die wichtigsten Sektoren Unternehmensdienstleistungen, Einzelhandel und Fertigung sind. Weitere häufig betroffene Branchen sind Bildungsdienste, Behörden, Finanzen, Bauwesen, Gesundheitswesen, Technologie und kritische Infrastrukturen. Die Fokussierung der Gruppe auf kritische Sektoren unterstreicht ihren breiten Aktionsradius, der sowohl für öffentliche als auch für private Einrichtungen eine erhebliche Bedrohung darstellt.

Trotz der Effizienz der Gruppe behaupten sie, dass sie nicht auf gemeinnützige Organisationen abzielen.

Healthcare

Financial Services and Banking

Critical National Infrastructure (CNI)

Energy and Utilities

Die Opfer von RansomHub

Over 844 organizations have fallen victim to RansomHub since its emergence, with a notable focus on public infrastructure, including healthcare systems and government facilities. These attacks disrupted vital services, leading to significant operational downtimes and substantial ransom demands.

Angriffsmethode

Die Angriffsmethode von RansomHub

Erster Zugang
Rechte-Eskalation
Beharrlichkeit und Umgehung der Verteidigung
Zugang zu Anmeldeinformationen
Entdeckung
Seitliche Bewegung
Sammlung
Ausführung
Exfiltration
Auswirkungen
Eine schattenhafte Gestalt, die ein weites Netz über eine digitale Landschaft mit verschiedenen Geräten wie Computern, Smartphones und Tablets auswirft. Das Netz symbolisiert die Versuche des Angreifers, Schwachstellen zu finden oder phishing Techniken zu verwenden, um unbefugten Zugang zu erhalten.

RansomHub affiliates gained access through phishing emails, exploiting vulnerabilities, and password spraying. Common vulnerabilities exploited include CVE-2023-3519 (Citrix ADC), CVE-2023-27997 (Fortinet), and CVE-2020-1472 (Netlogon privilege escalation).

Eine digitale Leiter, die von einem einfachen Benutzersymbol zu einer Krone aufsteigt, die administrative Rechte symbolisiert. Dies steht für die Bemühungen des Angreifers, innerhalb des Systems Zugang zu höheren Ebenen zu erhalten.

Once inside, affiliates escalated privileges using tools like Mimikatz, enabling full control over compromised systems.

Ein Chamäleon, das sich in einen digitalen Hintergrund einfügt, mit Nullen und Einsen, die es umgeben. Dies steht für die Fähigkeit des Angreifers, sich der Entdeckung durch Sicherheitsmaßnahmen zu entziehen, indem er seine Taktik ändert, um sich in den normalen Netzwerkverkehr einzufügen.

They disabled security tools, clear logs, and renamed ransomware executables to blend into system files, evading detection.

Ein Dieb mit einem Dietrich-Toolkit, der an einem riesigen Schlüsselloch arbeitet, das wie ein Anmeldeformular geformt ist und die Bemühungen des Angreifers darstellt, Benutzerdaten zu stehlen, um unbefugten Zugang zu erhalten.

Using credential dumping tools and password spraying, affiliates gathered administrative credentials to access high-value systems.

Eine Lupe, die sich über eine digitale Karte eines Netzwerks bewegt und Dateien, Ordner und Netzwerkverbindungen hervorhebt. Dieses Bild stellt die Phase dar, in der Angreifer die Umgebung erkunden, um die Struktur zu verstehen und herauszufinden, wo sich wertvolle Daten befinden.

Network reconnaissance was conducted using tools like Nmap and PowerShell to identify valuable targets and plan further exploitation.

Eine Reihe miteinander verbundener Knotenpunkte, zwischen denen sich eine schemenhafte Gestalt heimlich bewegt. Dies veranschaulicht die Bewegungen des Angreifers innerhalb des Netzes, der versucht, die Kontrolle über weitere Systeme zu erlangen oder malware zu verbreiten.

Affiliates moved laterally using tools like Remote Desktop Protocol (RDP), PsExec, and AnyDesk, gaining access to additional systems within the network.

Ein großer Staubsauger, der Dateien, Datensymbole und Ordner in einen Beutel aufsaugt, der von einer schemenhaften Gestalt gehalten wird. Dieses Bild symbolisiert den Prozess des Sammelns wertvoller Daten aus dem Zielnetzwerk.

Sensitive data was exfiltrated using tools like Rclone and WinSCP, often for double extortion purposes, where the stolen data was used as leverage in ransom negotiations.

Ein Eingabeaufforderungsfenster, das vor einem digitalen Hintergrund geöffnet ist und in das bösartiger Code eingegeben wird. Dies ist die Phase, in der die Angreifer ihre bösartige Nutzlast auf dem angegriffenen System ausführen.

The ransomware was executed across the victim’s network, encrypting files using Curve 25519 elliptic-curve encryption.

Eine Reihe von Dateien, die über einen verdeckten Kanal von einem Computer zu einem mit einem Totenkopf gekennzeichneten cloud geleitet werden, was die unautorisierte Übertragung von Daten an einen vom Angreifer kontrollierten Ort symbolisiert.

Data was exfiltrated through encrypted protocols, cloud accounts, or direct transfers to attacker-controlled servers.

Ein zerbrochener Bildschirm mit einer digitalen Stadtlandschaft im Chaos dahinter symbolisiert die zerstörerischen Auswirkungen des Cyberangriffs, wie z. B. Dienstunterbrechungen, Datenvernichtung oder finanzielle Verluste.

RansomHub’s encryption rendered victim systems inoperable, often leading to extensive operational downtime. Affiliates deleted backups and volume shadow copies to prevent recovery efforts, maximizing the pressure on victims to pay the ransom.

Eine schattenhafte Gestalt, die ein weites Netz über eine digitale Landschaft mit verschiedenen Geräten wie Computern, Smartphones und Tablets auswirft. Das Netz symbolisiert die Versuche des Angreifers, Schwachstellen zu finden oder phishing Techniken zu verwenden, um unbefugten Zugang zu erhalten.
Erster Zugang

RansomHub affiliates gained access through phishing emails, exploiting vulnerabilities, and password spraying. Common vulnerabilities exploited include CVE-2023-3519 (Citrix ADC), CVE-2023-27997 (Fortinet), and CVE-2020-1472 (Netlogon privilege escalation).

Eine digitale Leiter, die von einem einfachen Benutzersymbol zu einer Krone aufsteigt, die administrative Rechte symbolisiert. Dies steht für die Bemühungen des Angreifers, innerhalb des Systems Zugang zu höheren Ebenen zu erhalten.
Rechte-Eskalation

Once inside, affiliates escalated privileges using tools like Mimikatz, enabling full control over compromised systems.

Ein Chamäleon, das sich in einen digitalen Hintergrund einfügt, mit Nullen und Einsen, die es umgeben. Dies steht für die Fähigkeit des Angreifers, sich der Entdeckung durch Sicherheitsmaßnahmen zu entziehen, indem er seine Taktik ändert, um sich in den normalen Netzwerkverkehr einzufügen.
Verteidigung Umgehung

They disabled security tools, clear logs, and renamed ransomware executables to blend into system files, evading detection.

Ein Dieb mit einem Dietrich-Toolkit, der an einem riesigen Schlüsselloch arbeitet, das wie ein Anmeldeformular geformt ist und die Bemühungen des Angreifers darstellt, Benutzerdaten zu stehlen, um unbefugten Zugang zu erhalten.
Zugang zu Anmeldeinformationen

Using credential dumping tools and password spraying, affiliates gathered administrative credentials to access high-value systems.

Eine Lupe, die sich über eine digitale Karte eines Netzwerks bewegt und Dateien, Ordner und Netzwerkverbindungen hervorhebt. Dieses Bild stellt die Phase dar, in der Angreifer die Umgebung erkunden, um die Struktur zu verstehen und herauszufinden, wo sich wertvolle Daten befinden.
Entdeckung

Network reconnaissance was conducted using tools like Nmap and PowerShell to identify valuable targets and plan further exploitation.

Eine Reihe miteinander verbundener Knotenpunkte, zwischen denen sich eine schemenhafte Gestalt heimlich bewegt. Dies veranschaulicht die Bewegungen des Angreifers innerhalb des Netzes, der versucht, die Kontrolle über weitere Systeme zu erlangen oder malware zu verbreiten.
Seitliche Bewegung

Affiliates moved laterally using tools like Remote Desktop Protocol (RDP), PsExec, and AnyDesk, gaining access to additional systems within the network.

Ein großer Staubsauger, der Dateien, Datensymbole und Ordner in einen Beutel aufsaugt, der von einer schemenhaften Gestalt gehalten wird. Dieses Bild symbolisiert den Prozess des Sammelns wertvoller Daten aus dem Zielnetzwerk.
Sammlung

Sensitive data was exfiltrated using tools like Rclone and WinSCP, often for double extortion purposes, where the stolen data was used as leverage in ransom negotiations.

Ein Eingabeaufforderungsfenster, das vor einem digitalen Hintergrund geöffnet ist und in das bösartiger Code eingegeben wird. Dies ist die Phase, in der die Angreifer ihre bösartige Nutzlast auf dem angegriffenen System ausführen.
Ausführung

The ransomware was executed across the victim’s network, encrypting files using Curve 25519 elliptic-curve encryption.

Eine Reihe von Dateien, die über einen verdeckten Kanal von einem Computer zu einem mit einem Totenkopf gekennzeichneten cloud geleitet werden, was die unautorisierte Übertragung von Daten an einen vom Angreifer kontrollierten Ort symbolisiert.
Exfiltration

Data was exfiltrated through encrypted protocols, cloud accounts, or direct transfers to attacker-controlled servers.

Ein zerbrochener Bildschirm mit einer digitalen Stadtlandschaft im Chaos dahinter symbolisiert die zerstörerischen Auswirkungen des Cyberangriffs, wie z. B. Dienstunterbrechungen, Datenvernichtung oder finanzielle Verluste.
Auswirkungen

RansomHub’s encryption rendered victim systems inoperable, often leading to extensive operational downtime. Affiliates deleted backups and volume shadow copies to prevent recovery efforts, maximizing the pressure on victims to pay the ransom.

MITRE ATT&CK Kartierung

Von RansomHub verwendete TTPs

TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
No items found.
TA0005: Defense Evasion
T1562
Impair Defenses
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
No items found.
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
No items found.
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1048
Exfiltration Over Alternative Protocol
TA0040: Impact
T1486
Data Encrypted for Impact
Plattform-Detektionen

How to Detect Threat Actors with Vectra AI

Azure AD MFA-Failed Suspicious Sign-On

Azure AD Privilege Operation Anomaly

M365 Suspect Power Automate Activity

Privilege Anomaly: Unusual Host

Ransomware File Activity

Suspicious Remote Desktop Protocol

Weitere Entdeckungen anzeigen
Bewerten Sie Ihr Angriffsrisiko

Is Your Organization Safe from Cyber Attacks?

Bewerten Sie Ihr Angriffsrisiko

Häufig gestellte Fragen

Welche Branchen sind die Hauptzielgruppen von RansomHub?

Welche Länder sind am meisten von RansomHub betroffen?

Wie verschafft sich RansomHub den ersten Zugang?

Was sind die Methoden von RansomHub zur Datenexfiltration?

Wie erweitert RansomHub die Privilegien innerhalb eines Netzwerks?

Welche Verschlüsselungsmethode verwendet RansomHub?

Wie entgehen die RansomHub-Partner der Entdeckung?

Welche Werkzeuge verwendet RansomHub für die seitliche Bewegung?

Welche Strategien zur Schadensbegrenzung können helfen, RansomHub-Angriffe zu verhindern?

Was sind die Auswirkungen eines RansomHub-Angriffs?