Introduction
RansomHub a dominĂ© l’actualitĂ© tout au long de 2024. L’organisation cybercriminelle a disparu il y a quelques mois. La vitrine qu’ils utilisaient pour exposer leurs trophĂ©s et rĂ©clamer des rançons n’est plus en ligne.
Nos confrĂšres chez Le Mag IT se posent la question « Que devient RansomHub ? ». Ils ont perdu leur source de revenus. Cependant, ils conservent leurs outils. Les sans-banniĂšres sont toujours une menace active.Â
Leurs outils rendent leurs attaques prĂ©visibles. C’est pourquoi, je suis allĂ© chercher auprĂšs des consultants Allistic, un rapport terrain d’une rĂ©action Ă incident. C’est un cas typique, une TPE qui a vu son matĂ©riel chiffrĂ© du jour au lendemain. On a pu copier tout le systĂšme et le mettre dans nos bureaux pour Ă©tudier l’attaque. Une analyse forensique complĂšte, conduite par nos consultants, a permis de reconstituer le scĂ©nario pas Ă pas.
On fait le point sur la menace et je vous partage la Killchain que l’on a observĂ©. Voici ce quâon a vu. Et comment vous pouvez le reconnaĂźtre aussi.
Table des matiĂšres
Qui est RansomHub ?
Dâun cĂŽtĂ©, ils agissent comme Ă©diteurs de logiciels. Ils vendent des outils ransomware Ă des attaquants.
Une fois Ă©quipĂ©s, ces attaquants deviennent des âaffiliĂ©sâ. En retour, ils accĂšdent Ă une plateforme dĂ©diĂ©e.
En effet, cette plateforme rĂ©sout un point faible frĂ©quent chez les cybercriminels : lâexposition lors de la nĂ©gociation.
Demander une rançon, câest sâexposer techniquement et juridiquement.
đ§ Une plateforme optimisĂ©e pour lâextorsion
RansomHub agit comme un tiers de confiance. Une sorte de eBay de la rançon.
La plateforme présente les données volées et la somme exigée.
En plus, ils innovent : la double extorsion est intégrée au workflow.
Si la rançon nâest pas payĂ©e, les donnĂ©es sont publiĂ©es.
MĂȘme en cas de paiement, le chantage peut se poursuivre pour maximiser le gain.
Les affiliés récupÚrent 90 % de la rançon.
Ce taux, trĂšs agressif, leur a permis de recruter massivement.
đŻ De lâoptimisation Ă la chasse au gros gibier
La plateforme aide chaque affilié à calibrer sa demande.
Trop faible : on ne les prend pas au sérieux.
Trop élevée : on ne paie pas.
Câest lĂ quâon entre dans le big game hunting. RansomHub dĂ©signe des cibles Ă haute valeur ajoutĂ©e.
En réalité, ce ne sont pas nécessairement les plus grosses entreprises. Ce sont celles qui sont vulnérables et susceptibles de payer.
Selon Crowdstrike, la rançon moyenne a atteint 6 millions de dollars en 2025.
đ AprĂšs RansomHub : la dispersion des outils
Depuis la disparition du groupe, deux structures revendiquent lâhĂ©ritage : DragonForce et Qilin.
Elles proposent de nouveaux outils et une plateforme dâextorsion aux anciens affiliĂ©s.
𧱠Mieux vaut ĂȘtre une cible coĂ»teuse : l’affiliĂ© passera Ă quelquâun dâautre.
Une killchain, câest une suite dâĂ©tapes. Il suffit souvent dâen bloquer une pour faire Ă©chouer lâattaque.
Les affiliĂ©s passeront Ă une autre cible â sauf si vous ĂȘtes un gros gibier.
Le hardening nâest pas un bouclier parfait. Mais bien appliquĂ©, il suffit Ă faire dĂ©crocher un attaquant opportuniste.
Si vous ĂȘtes une cible Ă haute valeur, il vous faudra plus : une Ă©quipe, de la veille et du temps.
Retour dâenquĂȘte : une attaque RansomHub dans les Hauts-de-Franceâ
Le cas étudié concerne une TPE/PME des Hauts-de-France. Nous avons anonymisé les données pour des raisons de confidentialité.
Pour dresser rapidement le tableau : le parc informatique se limite Ă quelques machines, fournies par un prestataire non spĂ©cialisĂ©. Lâentreprise dispose dâune baie de brassage, dâun pare-feu Fortigate et dâun serveur interne. Elle utilise Ă©galement un Active Directory.
Lâincident nâa pas affectĂ© la production. Les postes de travail chiffrĂ©s ont Ă©tĂ© remplacĂ©s par du matĂ©riel neuf, pare-feu inclus.
LâactivitĂ© Ă©tant principalement logistique, les tournĂ©es du lendemain ont pu se dĂ©rouler sans informatique. Il nâa pas Ă©tĂ© nĂ©cessaire de restaurer dâanciennes donnĂ©es. Les sauvegardes ont Ă©tĂ© dĂ©ployĂ©es sans difficultĂ©.
Nous avons isolĂ© les machines chiffrĂ©es pour en faire un laboratoire dâanalyse forensique. Les consultants Allistic ont Ă©tudiĂ© la vulnĂ©rabilitĂ©. Ainsi, ils ont validĂ© quâelle ne pouvait plus ĂȘtre exploitĂ©e.
Il faut saluer ici le courage du client. Il a rapidement sollicitĂ© Allistic, reconnu les failles humaines et facilitĂ© lâintervention.
Cette lucidité est rare. Ce type de collaboration améliore concrÚtement la sécurité de tous.
Ătude de la Killchain en utilisant la matrice Mitre ATT&CK
Le cas que nous avons pu Ă©tudier est typique de ce qui est documentĂ© concernant RansomHub. Par exemple, le CISA a documentĂ© en utilisant la matrice Mitre Att&ck.Â
Cette connaissance a permis au consultant de guider son étude de vulnérabilité.
Brute force SSH/VPN (Fortigate) - T1110 (Initial Access)
Au sein des logs du pare-feu fortigate, nous avons remarquĂ© des tentatives de brute force sur les services SSH et VPN, et ceci 24h/24h 7j/7j :Â
Suite Ă notre prestation dâinvestigation, nous avons constatĂ© diffĂ©rents Ă©vĂ©nements en lien avec la matrice MITRE&TTCK du groupe. Cette technique correspond au T1110(.x).Â
Connexions VPN anormales (Fortigate)
Parmis les logs de brute force ci-dessus, nous avons remarquĂ© des connexions SSL VPN rĂ©ussies en dehors des heures dâactivitĂ©s standards de notre client. De plus, ces connexions sont rĂ©alisĂ©es sans identifiants (user=âN/Aâ) depuis des adresses IP localisĂ©es Ă lâĂ©tranger (Inde, Chine, Russie, etc.) :Â
T1059 - Versions FortiOS et CVE-2023-27997 (Fortigate)
Nous avons Ă©galement constatĂ© que la version du systĂšme FortiOS 6.2.12 nâĂ©tait pas mise Ă jour, cette version Ă©tait vulnĂ©rable Ă la CVE-2023-27997 (RCE SSL VPN), voici un bulletin dâalerte concernant cette vulnĂ©rabilitĂ© : https://www.cert.ssi.gouv.fr/alerte/CERTFR-2023-ALE-004/
Une RCE (Remote Code Execution) permet aux attaquants de mettre un pied dans un systĂšme avec des droits limitĂ©s, les phases suivantes suite Ă cette premiĂšre prise de contrĂŽle sont gĂ©nĂ©ralement lâĂ©lĂ©vation de privilĂšges et lâĂ©numĂ©ration dâautres Ă©quipements pour vĂ©rifier les possibilitĂ©s de rebond au sein du pĂ©rimĂštre.
Ă ce stade, rien ne permet de confirmer si lâattaquant sâest maintenu via un compte compromis ou via une exĂ©cution de code sur le Fortigate.
T1078 - Activités inhabituelles sur des comptes (Fortigate)
Des comptes utilisateurs et administrateurs utilisĂ© au quotidien par le client ont Ă©tĂ© utilisĂ©s durant des plages horaires inhabituelles, voici une capture dâĂ©cran des logs au sein du firewall Fortigate :
Ces connexions rĂ©ussies se font sans mots de passe. Cela renforce l’hypothĂšse selon laquelle, c’est bien la CVE qui sert de vecteur initial. On retient donc la technique T1059 en Initial Access. La technique de brute force sur le VPN (T1110.003) ne sert pas forcĂ©ment de vecteur initial.
Suppression des logs (Serveurs Windows) - T1070.001
Nous avons constatĂ© la suppression des logs dâĂ©vĂ©nements Windows sur plusieurs serveurs :
Lâeffacement des logs est une pratique courante durant les derniĂšres Ă©tapes dâune stratĂ©gie dâattaque, cette partie est gĂ©nĂ©ralement automatisĂ©e et directement intĂ©grĂ©e au sein mĂȘme du ransomware, et elle permet de nettoyer des points clĂ©s du systĂšme dâexploitation en fonction de son type et sa version (Windows ou Linux).
En dâautres termes, lâeffacement des logs permet aux attaquants dâeffacer leurs traces et par consĂ©quent les preuves pour les retrouver. Cela correspond bien au code Mitre T1070.001
Credential Access - T1110.002 Password cracking (Domaine AD)
Suite Ă la dĂ©couverte dâinactivitĂ© inhabituelles concernant certains comptes utilisateurs et administrateurs, nous avons vĂ©rifiĂ© la robustesse des mots de passe utilisĂ©s au sein du domaine AD avec lâoutil impacket et hashcat. Impacket est utilisĂ© par le groupe Ransomhub dâaprĂšs Mitre Attack.
Impacket nous a donc permis dâexporter les comptes du domaine et leurs hash, et hashcat permet de casser les hash pour obtenir les mots de passe en claire :
Suite à cette manipulation, nous avons constaté que les mots de passe avaient un niveau de robustesse trÚs faible, et donc facilement crackable via une simple wordlist (liste de mot de passe).
T1486 - Chiffrement des données et demande de rançon (Serveur de fichiers Windows)
Les systĂšmes chiffrĂ©s sont facilement identifiables avec une extension de fichier en â.c65813â.
Et enfin, le message revendiquĂ© par les attaquants Ă©tait prĂ©sent sur lâensemble des systĂšmes et copiĂ© dans chaques sous dossiers :
Le chiffrement des donnĂ©es permet de prendre en otage lâentreprise et le message de revendication donne des indications pour payer la rançon et appuie sur lâaspect âchantageâ en indiquant que si vous ne payez pas, vos donnĂ©es seront alors divulguĂ©es sur le net.
Killchain RansomHub : scĂ©nario dâattaque visuel
đ§ Vecteur initial : VPN/SSH ou RCE ?
Le sujet un peu complexe Ă dĂ©terminer, câest la position du brute force sur lâaccĂšs VPN et SSH, qui sâĂ©tale rĂ©ellement 24/7 jusquâĂ lâimpact.
Dans les logs, nous avons dĂ©tectĂ© des connexions rĂ©ussies sur le VPN, Ă des heures inhabituelles, et sans mot de passe. Ces Ă©lĂ©ments renforcent lâhypothĂšse dâune exploitation de la CVE-2023-27997, une faille critique permettant dâexĂ©cuter des commandes Ă distance (RCE).
đ Des mots de passe faibles, utilisĂ©s sans MFA
Par ailleurs, nous avons constaté des connexions anormales sur plusieurs comptes utilisateurs et administrateurs. En réponse, nous avons testé la robustesse des mots de passe. Grùce à Impacket et Hashcat, nous avons réussi à casser plusieurs comptes en quelques minutes.
Le client nous a confirmĂ© que ces mots de passe Ă©taient rĂ©utilisĂ©s sur plusieurs Ă©quipements, notamment sur le pare-feu. De plus, aucun des comptes nâĂ©tait protĂ©gĂ© par une authentification MFA.
Il est donc probable que le brute force sur le VPN ait permis dâĂ©largir lâaccĂšs Ă lâActive Directory.
𧚠ContrÎle total, chiffrement final
Cette compromission de comptes utilisateurs a ouvert lâaccĂšs Ă diverses ressources, en fonction des privilĂšges. Elle a aussi facilitĂ© les rebonds vers dâautres systĂšmes, assurant un accĂšs persistant Ă lâenvironnement de lâentreprise.
Enfin, une fois la prise de contrĂŽle confirmĂ©e, lâattaquant a exĂ©cutĂ© le ransomware. Le systĂšme a ensuite dĂ©clenchĂ© un nettoyage automatisĂ© des logs, ce qui a effacĂ© la plupart des traces.
Pour les fans du mĂ©tier, je vous mets le schĂ©ma que le consultant a fait pour sa restitution đ
Qu'est-ce qui a changé aujourd'hui ?
Il existe une sĂ©rie de techniques qui sont rĂ©guliĂšrement exploitĂ©es par les affiliĂ©s RansomHub dont celles que l’on vient de montrer :
- Zerologon, impactant le protocole Ă distance NETLOGON (CVE-2020-1472);
- Netscaler (CVE-2023-2519);
- FortiOS (CVE-2023-27997);
- Lâorganisateur de protocole Java Openwire (CVE-2023-46604);
- La configuration BIG-IP (CVE-2023-46747) ;
- Les produits CONFLUENCE DATA CENTER et CONFLUENCE DATA SERVER (CVE-2023-22515);
- Les serveurs de gestions des endpoint FORTICLIENT EMS (CVE-2023-48788);
- WINDOWS SMBv1, permettant lâexĂ©cution de code Ă distance (CVE-2017- 0144).
Aujourd’hui, les attaques ne seront probablement plus signĂ©es par RansomHub. Elles pourraient ĂȘtre revendiquĂ©es via Qilin ou DragonForce. MĂȘme si la chasse au gros gibier fait une pause, les attaquants seront plus difficiles Ă dĂ©tecter. Ils vont combiner les techniques de RansomHub avec celles des autres groupes qui seront rejoint par les affiliĂ©s.
đĄïž Mieux vaut prĂ©venir : le guide terrain anti-ransomware
C’est toujours utile de le rappeler, toutes ces actions peuvent ĂȘtre menĂ©es avec l’Ă©quipe Allistic. Contactez-nous !
đ 1. Sauvegarder hors ligne et tester le PRA
Si vos sauvegardes sont chiffrées, elles ne serviront à rien.
Le plan de reprise (PRA) doit exister â et avoir Ă©tĂ© testĂ©.
𧩠2. Corriger vos failles connues
Restez Ă jour.
Dans ce cas prĂ©cis, un FortiOS Ă jour aurait bloquĂ© lâentrĂ©e.
Abonnez-vous aux alertes du CERT-FR.
đ 3. Renforcer les mots de passe (et activer le MFA)
Un bon mot de passe, câest bien.
Un MFA activĂ© partout, câest mieux.
Pour vous Ă©quiper simplement, Bitwarden peut suffire (appelez-nous !).
đ 4. Couper ce qui ne sert pas
Le VPN et le SSH ne servaient pas.
Câest pourtant par lĂ quâils sont entrĂ©s.
DĂ©sactivez les services inutiles.
đ”ïžââïž 5. Monitorer les logs et les accĂšs
Le FortiGate parlait â mais personne nâĂ©coutait.
Supervision et corrélation des logs = détection précoce.
𧱠6. Segmenter, cloisonner, restreindre
Moindre privilĂšge.
Active Directory durci (PingCastle, ORADAD).
Moins un attaquant peut bouger, plus vite vous le stoppez.
𧰠Bonus : si vous ĂȘtes dĂ©jĂ touchĂ©
Certains ransomwares ont déjà une clé disponible.
VĂ©rifiez sur NoMoreRansom.
