Ante el vacío de poder dejado por la desarticulación de Alphv, Ransomhub aprovechó esta oportunidad para establecer su programa de afiliación. La situación fue analizada por Grupo-IB en agosto de 2024. Los equipos de inteligencia de amenazas y de respuesta a incidentes del Grupo-IB y de forense digital (DFIR) detectaron que Ransomhub estaba enfocándose específicamente en reclutar a afiliados de grupos anteriormente activos como Lockbit y Alphv, que ya no operaban. Esto implicó un esfuerzo activo por parte de Ransomhub para atraer nuevos miembros a su organización delictiva.
La estrategia adoptada por Ransomhub incluía la utilización de mensajes directos y publicaciones en foros subterráneos, como Ramp, XSS y Exploit.in, donde los miembros del grupo hacían llamados abiertos a los hackers que buscaban formas de unirse a un nuevo esquema de ransomware. Laborando en un entorno donde la interrupción de los anteriores actores del ransomware había generado un vacío en la oferta de servicios delictivos, Ransomhub se presentó como una opción viable para aquellos que habían perdido su afiliación o buscaban nuevas oportunidades en el entorno de cibercrimen.
El contexto en el que emergió Ransomhub es notable, ya que revela cómo los grupos de ransomware operan en un paisaje altamente dinámico y competitivo. Las acciones de aplicación de la ley no sólo desarticulan organizaciones, sino que también crean oportunidades para nuevos grupos que buscan colmar el vacío. Ransomhub, con su enfoque en crecer rápidamente y atraer afiliados, destacó su interés en construir una red robusta de colaboradores en el ámbito del ransomware, al tiempo que aprovechaba las experiencias y conocimientos de los hackers que anteriormente habían trabajado con Alphv y Lockbit.
El análisis de Grupo-IB sugiere que Ransomhub no sólo estaba intentando llenar un vacío, sino que también estaba buscando diferenciarse en un mercado ya saturado de servicios de ransomware. Al capitalizar el descontento y la búsqueda de nuevas oportunidades por parte de cibercriminales descontentos con sus antiguos grupos, Ransomhub fue capaz de configurarse como un nuevo jugador en la escena del ransomware, listo para ofrecer sus servicios a una nueva generación de cibercriminales.
En resumen, Ransomhub pudo establecerse rápidamente debido a un entorno favorable creado por la desarticulación de grupos competidores. Con un enfoque directo en reclutar nuevos miembros y utilizando plataformas subterráneas para lograr sus objetivos, Ransomhub mostró su capacidad para adaptarse a las condiciones cambiantes del cibercrimen, lo que podría tener implicaciones significativas en la lucha continua contra el ransomware y la totalidad del ecosistema delictivo digital. Así, el surgimiento de Ransomhub sirve como un recordatorio de la naturaleza resiliente y en constante evolución de las organizaciones de ransomware, así como de los desafíos que enfrenta la comunidad de ciberseguridad en sus esfuerzos por mitigar estos riesgos.
Enlace de la fuente, haz clic para tener más información