# RansomHub RansomHub é um grupo de ransomware como serviço (RaaS) que emergiu em fevereiro de 2024 e rapidamente se tornou um dos mais ativos e prolíficos do ecossistema de ransomware. O grupo ganhou notoriedade ao recrutar afiliados do [[alphv-blackcat-group|ALPHV/BlackCat]] após o colapso daquele grupo em março de 2024, absorvendo capacidade operacional e base de afiliados experientes. A CISA emitiu advisory AA24-242A sobre o RansomHub em agosto de 2024. ## Visão Geral O RansomHub opera modelo afiliado agressivo, oferecendo 90% do resgate aos afiliados (vs. 70-80% da concorrência). Esse modelo atraiu afiliados de alto perfil, incluindo o afiliado que atacou a Change Healthcare, que após não receber pagamento do ALPHV migrou para o RansomHub e iniciou segunda extorsão com os 6 TB de dados roubados. O grupo demonstrou capacidade técnica para atacar ambientes multi-plataforma (Windows, Linux, VMware ESXi), é conhecido por exfiltração de dados antes da criptografia e opera um leak site ativo. Em 2024, atacou mais de 210 vítimas em 45 países, tornando-se o grupo de ransomware mais ativo no Q3/Q4 2024. ## Conexão com ALPHV/BlackCat Após o [[alphv-blackcat-group|ALPHV/BlackCat]] realizar exit scam em março de 2024 (ficando com US$22M de resgate da Change Healthcare), o afiliado principal migrou para o RansomHub. Este trouxe os dados da Change Healthcare e iniciou nova extorsão - uma das primeiras instâncias documentadas de "extorsão em cadeia" por afiliado após exit scam de operador RaaS. ## TTPs Frequentes - [[t1190-exploit-public-facing-application|T1190]] - exploração de VPNs sem MFA, Citrix Bleed (CVE-2023-4966) - [[t1486-data-encrypted-for-impact|T1486]] - criptografia de sistemas Windows, Linux, ESXi e NAS - [[t1041-exfiltration-over-c2-channel|T1041]] - exfiltração prévia à criptografia para dupla extorsão - [[t1078-valid-accounts|T1078]] - uso de credenciais legítimas compradas de IABs ## TTPs Principais O RansomHub desabilita ferramentas de segurança (T1562.001) usando o EDRKillShifter como técnica central de evasão. Emprega criptografia Curve 25519 (T1486) com chaves específicas por vítima, e obtém acesso inicial via credenciais válidas (T1078) e spearphishing com links maliciosos (T1566.002). Para movimentação lateral, transfere ferramentas como NetScan via RDP (T1570) e abusa de serviços remotos (T1021). Utiliza tarefas agendadas (T1053) para execução e transfere ferramentas de ataque para os sistemas comprometidos (T1105). O grupo emergiu em 2024 como uma das operações de ransomware-as-a-service mais ativas. ## Referências - CISA Advisory AA24-242A: RansomHub Ransomware (ago/2024) - FBI Flash Alert: RansomHub Indicators of Compromise (2024) - Microsoft Threat Intelligence: RansomHub RaaS Analysis (2024)