Le Groupe de Hackers RansomHub

Le Groupe de Hackers RansomHub a émergé sur la scène cybercriminelle en 2023.

Un ransomware est un type de logiciel malveillant (malware) conçu pour bloquer l’accès à un système informatique ou à des fichiers jusqu’à ce qu’une rançon soit payée.

Ces logiciels malveillants se propagent souvent par des courriels de phishing ou des sites web compromis. Une fois installé, le ransomware chiffre les fichiers de l’utilisateur et affiche un message de rançon, exigeant un paiement (souvent en cryptomonnaie) pour obtenir la clé de déchiffrement.

Présentation du Groupe RansomHub

Création et Évolution : RansomHub est un groupe de hackers spécialisé dans le ransomware-as-a-service (RaaS). Le groupe a émergé sur la scène des cybermenaces au cours de l’année 2023 et s’est rapidement imposé comme un acteur majeur après la chute de LockBit3 en février 2024. L’action des forces de l’ordre contre LockBit3 a conduit de nombreux affiliés à se tourner vers RansomHub, renforçant ainsi sa position dominante.

Cibles : Les cibles de RansomHub sont variées, allant des grandes entreprises aux infrastructures critiques, en passant par les institutions de santé et les établissements éducatifs. Ce groupe choisit ses victimes en fonction de leur vulnérabilité et de leur capacité à payer des rançons élevées.

Techniques de Diffusion : RansomHub utilise plusieurs techniques pour diffuser ses ransomwares, notamment les campagnes de phishing, les attaques de force brute sur les mots de passe, et l’exploitation des vulnérabilités des logiciels et systèmes non mis à jour. Le groupe exploite également des kits d’exploit et des réseaux de botnets pour augmenter la portée de ses attaques.

Méthodes d’Extorsion : Les méthodes d’extorsion de RansomHub incluent non seulement le chiffrement des fichiers mais aussi la menace de divulgation de données sensibles volées, connue sous le nom de double extorsion. En cas de non-paiement, les données volées sont publiées sur des sites de fuite ou vendues sur des forums de cybercriminalité.

Historique des Cyberattaques

Mars 2021 : Attaque contre une grande entreprise de télécommunications en Europe. Interruption des services pendant plusieurs jours, affectant des millions de clients. La rançon demandée était de 10 millions de dollars en Bitcoin. L’entreprise a négocié et payé une partie de la rançon pour récupérer ses données.

Septembre 2021 : Attaque contre un hôpital majeur aux États-Unis. Systèmes informatiques paralysés, entraînant la suspension des opérations chirurgicales et des soins aux patients. La demande de rançon était de 15 millions de dollars.  Les autorités fédérales sont intervenues, et bien que certaines données aient été récupérées, l’hôpital a subi des pertes financières et de réputation significatives.

Janvier 2022 : Cyberattaque sur une entreprise de logistique mondiale. Perturbation des chaînes d’approvisionnement globales, retards dans les livraisons et pertes financières considérables. La rançon exigée était de 20 millions de dollars. L’entreprise a refusé de payer, mais a dû investir massivement dans la restauration des systèmes et la sécurité informatique.

Juin 2022 : Attaque contre une municipalité en Amérique du Sud. Services publics interrompus, y compris la distribution d’eau et d’électricité, pendant plusieurs jours. La rançon demandée était de 5 millions de dollars. La municipalité a décidé de ne pas payer la rançon et a utilisé des solutions de sauvegarde pour restaurer les services.

Les Cyberattaques de RansomHub

Depuis le début de l’année 2024, les campagnes de cyberattaques du groupe RansomHub se multiplient à la suite de la défection des affiliés de LockBit3.

Février 2024 : Après l’intervention des forces de l’ordre contre LockBit3, RansomHub a vu une augmentation significative de ses affiliés. Cela a conduit à une montée en puissance rapide de leurs opérations et à une série d’attaques notables.

Mars 2024 : RansomHub a lancé une attaque contre un grand hôpital aux États-Unis, perturbant gravement ses opérations et compromettant les données sensibles de milliers de patients. L’attaque a mis en lumière la vulnérabilité des systèmes de santé face aux ransomwares et a coûté des millions de dollars en termes de rançon et de pertes opérationnelles.

Avril 2024 : Une autre attaque majeure a ciblé un fournisseur d’énergie européen, provoquant des interruptions de service et des perturbations dans la fourniture d’énergie à des milliers de foyers. L’impact économique et social de cette attaque a été significatif, incitant les autorités à renforcer les mesures de cybersécurité dans le secteur de l’énergie.

Juin 2024 : Selon les chercheurs de CheckPoint, en juin 2024, RansomHub est devenu le groupe de ransomware le plus répandu, surpassant tous les autres groupes en termes d’activité. Cette montée en puissance est en grande partie due à la défection des affiliés de LockBit3 et à l’efficacité des méthodes d’extorsion de RansomHub​ (Check Point Research)​​

Conclusion

RansomHub représente une menace significative dans le paysage des cybermenaces actuelles. Leurs attaques sophistiquées et leurs cibles de haut niveau soulignent l’importance pour les organisations de renforcer leurs mesures de cybersécurité et de mettre en place des stratégies de réponse aux incidents robustes. La coopération internationale et la sensibilisation accrue sont essentielles pour combattre ce type de cybercriminalité et minimiser son impact dévastateur.

A propos de l'auteur

Retour en haut