Обзор утечек данных по вине группировки RansomHub

В 2024 году одним из главных виновников утечек данных стали хакеры RansomHub. В информационном поле ИБ утечки данных, спровоцированные этой группировкой, появляются довольно регулярно. В результате атак RansomHub с использованием вирусов-вымогателей произошли утечки данных в ряде крупных коммерческих компаний и госсекторе.

Активность группы хакеров RansomHub впервые отмечена в феврале 2024 г. Анализ вредоносных инструментов, используемых злоумышленниками, позволил специалистам Symantec выявить большую степень сходства между эксплоитами RansomHub и теми средствами, которые были в арсенале группировки Knight. Вероятно, программа-вымогатель RansomHub представляет из себя несколько измененный вирус Knight. Несмотря на значительное сходство двух инструментов, специалисты считают маловероятным то, что во главе RansomHub стоят выходцы из Knight. Скорее всего, участники новой группировки просто купили вредоносное ПО Knight и обновили его перед запуском собственной кибербанды. Обладая мощным ПО для совершения атак, RansomHub активно развивает сеть своих «филиалов». К числу ее последователей относится группировка Scattered Spider.

Несмотря на то, что RansomHub появилась только в феврале 2024 г., за считанные месяцы она вошла в число самых крупных операторов программ-вымогателей. Одним из факторов, способствующих быстрому росту этой группировки, может быть успех в привлечении некоторых бывших участников хакерского коллектива Noberus (также известен как ALPHV и Blackcat).

Вероятно, «боевым крещением» для участников RansomHub стал взлом страховой компании Change Healthcare в феврале 2024 г. Эта атака была совершена еще в составе группировки ALPHV. В апреле RansomHub выставила украденные данные на продажу. Позже UnitedHealth Group, материнская компания Change Healthcare, заявила, что ущерб от кибератаки превысил 2 млрд долларов.

Весной 2024 г. жертвой RansomHub стал аукционный дом Christie’s. Хакеры заявили, что украли данные порядка 500 тыс. клиентов. Атака также на время сделала недоступным сайт Christie’s и вызвала проблемы при продаже произведений искусства и других лотов на общую сумму порядка 840 млн долларов.

Телекоммуникационная компания Frontier Communications в начале лета призналась, что в результате кибератаки потеряла данные порядка 750 тыс. клиентов. Взлом был организован в апреле 2024 г.

Среди летних жертв RansomHub выделяется американская сеть аптек Rite Aid. В общей сложности хакеры похитили 45 млн строк данных о клиентах. Количество пострадавших покупателей лекарств оценивается более чем в 2 млн.

В начале июля хакеры из RansomHub выложили в открытый доступ порядка 100 ГБ данных, принадлежащих департаменту здравоохранения штата Флорида. Судя по всему, злоумышленники пошли на это шаг после того, как чиновники отказались вносить выкуп.

Группа вымогателей RansomHub летом также взломала инфраструктуру компании Coca-Cola в Мьянме. Украдены конфиденциальные данные в значительном объеме — порядка 800 ГБ. Известно, что злоумышленники сумели зашифровать информационные активы производителя напитков. 

По данным экспертно-аналитического центра InfoWatch, к 22 июля 2024 г. жертвами утечек конфиденциальной информации в результате атак, совершенных группировкой RansomHub, стали почти 100 компаний.