El grupo de ransomware RansomHub ha incrementado significativamente su actividad en América Latina, atacando a más de 210 organizaciones de sectores críticos desde febrero de 2024. Este grupo emplea un modelo de doble extorsión, que implica la encriptación de datos y la amenaza de divulgación si no se paga el rescate. Los sectores más afectados incluyen servicios financieros, salud, y tecnología, con un 14.2% de todos los ataques de ransomware en el tercer trimestre de 2024 atribuidos a RansomHub.
El grupo utiliza métodos sofisticados para infiltrarse en las redes de sus víctimas, aprovechando vulnerabilidades en tecnologías como Apache ActiveMQ, Citrix ADC, y Fortinet, además de deshabilitar soluciones de seguridad y utilizar herramientas como Mimikatz para escalar privilegios y extraer datos confidenciales. Una vez que obtienen acceso, establecen comunicaciones de comando y control (C2) para dirigir sus operaciones y desactivar soluciones de ciberseguridad, dejando a las organizaciones expuestas.
Las organizaciones afectadas experimentan pérdida de datos, interrupción de operaciones, y exposición pública, lo que genera impactos financieros y reputacionales graves. La rápida escalada de los ataques y el uso de tácticas de evasión avanzadas han convertido a RansomHub en una amenaza importante para la región.
Recomendaciones
Las empresas deben fortalecer su ciberseguridad, aplicar parches a las vulnerabilidades conocidas y adoptar soluciones avanzadas de detección y respuesta.
La capacitación de empleados y la implementación de copias de seguridad periódicas también son esenciales para minimizar el impacto de futuros ataques.
