RansomHub – Ce que vous devez savoir sur cette menace qui se répand rapidement 

Depuis son apparition début 2024, RansomHub a réussi à attaquer plus de 200 victimes dans divers secteurs, dont les infrastructures, les technologies de l’information, les services gouvernementaux, la santé, l’agriculture, les services financiers, la fabrication, le transport et la communication. 

Ce groupe de cybercriminels relativement récent fonctionne en tant qu’agent « Ransomware-as-a-Service » (RaaS) et s’est imposé comme un acteur de premier plan parmi les réseaux concurrents.  

Notre équipe d’analyse Varonis MDDR a récemment enquêté sur de multiples fuites attribuées à ce groupe et à ses filiales, et a ainsi contribué à contenir et à remédier aux menaces actives sur le réseau. Si votre entreprise a été ciblée, veuillez contacter notre équipe pour obtenir une assistance immédiate. 

Poursuivez votre lecture pour en savoir plus sur RansomHub, ses récentes activités et comment votre entreprise peut s’en prémunir. 

Récentes activités 

Leurs activités se sont intensifiées depuis la première détection en 2024 et ils sont rapidement devenus un « chasseur de gros gibier » lorsqu’il s’agit de sélectionner des victimes. Ils ciblent principalement les grandes entreprises davantage susceptibles de payer les rançons demandées pour rétablir la continuité de leurs activités au plus vite plutôt que de devoir gérer des interruptions prolongées. 

L’étendue de leurs victimes indique qu’il s’agit d’attaques d’opportunité, et non de secteurs ciblés. Ce constat se vérifie également par la connaissance de leurs opérations d’accès initial, qui comprennent généralement l’exploitation d’une application ou d’un service public hébergé par la victime, telle que Citrix ADC, FortiOS, Apache ActiveMQ, Confluence centre d’hébergement de données, BIG-IP. 

Selon les informations dont nous disposons actuellement, le groupe interdit à ses affiliés de cibler des entreprises situées en Chine, à Cuba, en Corée du Nord, en Roumanie et dans les pays de la Communauté des États indépendants, y compris la Russie. Ce type de SOP s’observe généralement chez les hackers basés en Chine ou en Russie afin de réduire la probabilité de tirs amis, ce qui témoigne d’un certain niveau d’association avec l’État ou d’une tentative de réduction du risque d’interférence des entités gouvernementales locales. 

Le groupe vise un large éventail de secteurs, dont des grandes entreprises de télécommunications comme Frontier Communications et des établissements de santé comme Change Healthcare et Rite Aid. Rien qu’en mars 2025, le groupe a publié plus de 60 nouvelles victimes sur son site du dark web, ransomxifxwc5eteopdobynonjctkxxvap77yqifu2emfbecgbqdw6qd[.]onion. 

En outre, à partir d’avril 2025, un groupe connu sous le nom de DragonForce a affirmé avoir pris le contrôle de l’infrastructure de RansomHub. Des fusions d’acteurs malveillants ont déjà eu lieu, mais celle-ci se distingue par sa taille et le nombre de victimes ciblées au cours des 12 derniers mois. Le site officiel onion de RansomHub est indisponible depuis le 31 mars 2025 et la date de publication de cet article.  

TrendMicro suit le groupe sous le nom Water Bakunawa, tandis que la CISA note que la variante a été autrefois dénommée Cyclops, puis Knight. Les membres et ses affiliés se sont associés à d’autres groupes RaaS très connus tels que Scattered Spider et ALPHV. 

Tactiques, techniques et procédures couramment utilisées 

Les affiliés de RansomHub, comme de nombreux autres fournisseurs de RaaS, sont connus pour exploiter à la fois des implants de logiciels malveillants personnalisés et des utilitaires informatiques courants ainsi que des LOLBINs. 

Du point de vue informatique, ils ont eu recours aux outils ci-dessous, qui sont fréquemment utilisés par les entreprises : 

• Ngrok : utilitaire de proxy inverse conçu pour créer un tunnel réseau sécurisé entre les appareils internes de l’entreprise et les endpoints externe. Il est souvent détourné à des fins de persistance et d’exfiltration par les cybermenaces. 
• Remmina : client RDP opensource souvent exploité par des cybercriminels en raison de sa capacité à fonctionner sur des systèmes UNIX. 
• TailScale VPN : souvent utilisé pour initier des tunnels sécurisés entre les appareils compromis et l’infrastructure de l’attaquant. 
• SplashTop Atera, AnyDesk, Connectwise, etc – logiciels de surveillance et de gestion à distance (RMM) couramment déployés par les cybermenaces pour maintenir le contrôle des appareils 
• Rclone : utilitaire de gestion de fichiers souvent détourné pour exfiltrer des données à grande échelle vers des destinations externes. 

En plus des outils axés sur l’informatique, les affiliés sont connus pour déployer des logiciels malveillants personnalisés afin d'atteindre leurs objectifs, y compris les capacités suivantes : 

• Charges utiles personnalisées ciblant Windows, Linux, ESXi et les serveurs SFTP. 
• Les opérateurs peuvent configurer des extensions à chiffrer, des exclusions, des processus spécifiques à interrompre, tels que des logiciels de sécurité, et d’autres éléments. 
• Ils peuvent également autoriser des hôtes spécifiques qu’ils souhaitent exclure de l’attaque par ransomware. 
• Le malware est connu pour supprimer les sauvegardes telles que les clichés instantanés du volume à l’aide de vssadmin, un utilitaire Windows intégré, mais aussi pour fonctionner en mode sécurisé afin de contourner certains contrôles de sécurité. 
• Utilisation abusive d’outils d’impact EDR tels que EDRKillShifter, une attaque de type Bring-Your-Own-Vulnerable-Driver 
• Effacement des preuves d’analyse telles que les logs 

Enfin, RansomHub a également exploité plusieurs vulnérabilités critiques pour obtenir un accès initial et une augmentation des privilèges. En voici quelques exemples : 

• CVE-2023-3519 – Citrix ADC NetScaler RCE 
• CVE-2023-27532 – Fuite des identifiants de sauvegarde et de replication de Veeam 
• CVE-2023-27997 – FortiOS RCE 
• CVE-2023-48788 – FortiClientEMS RCE 
• CVE-2023-46604 – Apache OpenWire RCE 
• CVE-2023-46747 – F5 BIG-IP RCE 
• CVE-2023-22515 – Création d’un administrateur Atlassian Confluence  
• CVE-2017-0144 – Windows SMB RCE 

Recommandations défensives 

Tout au long de la chaîne cybercriminelle, il existe de nombreuses possibilités pour renforcer les défenses de votre entreprise en prévision d’une attaque par un affilié de RansomHub ou d’un groupe similaire. Voici nos recommandations : 

• Appliquez des correctifs aux systèmes externes pour vous assurer que les vulnérabilités critiques sont atténuées. 

• Activez l’authentification multifactorielle (MFA) pour les systèmes d’accès à distance tels que VPN, RDP, Citrix NetScaler, Horizon, etc., et n’autorisez pas l’accès au réseau à partir de dispositifs non fiables sans MFA. 

• Assurez une couverture EDR à 100 % pour surveiller les transferts d'outils entrants et l'exécution de fichiers malveillants 

• Bloquez les utilitaires de tunneling et RMM tels que Ngrok, Cloudflared, AnyDesk, SplashTop, etc. Ils sont souvent exploités par les hackers et ne devraient être autorisés à s’exécuter qu’avec l’approbation de l’entreprise. 

• Surveillez les plateformes de données pour détecter les schémas d'accès anormaux et les tentatives de ransomware à l'aide d'un logiciel tel que Varonis ou similaire. Les solutions devraient inclure la capacité de surveiller les partages de fichiers traditionnels en réseau tels que NetApp/Isolons, OneDrive/SharePoint, les courriels, les CRM, les bases de données, les buckets S3, etc., car ce sont tous des cibles potentielles d'exfiltration et d'impact. 

N'attendez pas qu'une faille de sécurité se produise. 

La détection des ransomwares et des tactiques associées est un jeu du chat et de la souris en constante évolution. Lorsqu’une stratégie est déjouée, les adversaires en trouvent immédiatement une autre.  

Votre entreprise doit disposer de la technologie adéquate pour automatiser autant que possible votre posture défensive en réduisant les autorisations, en limitant l’accès et en surveillant de près toutes les données. 

Si votre entreprise a été ciblée, veuillez contacter l’équipe de réponse aux incidents de Varonis pour obtenir une assistance immédiate.