Origines et expansion : RansomHub est apparu pour la première fois en février 2024 et a rapidement gravi les échelons pour devenir le quatrième rançongiciel le plus actif entre mars et mai 2024. Sa stratégie de recrutement d’affiliés, dont certains provenant de Noberus (ALPHV/Blackcat), a joué un rôle crucial dans sa croissance. RansomHub partage de nombreuses similitudes avec le rançongiciel Knight, notamment le langage de programmation Go et l’utilisation du logiciel d’obfuscation Gofuscate.
Victimologie : RansomHub cible une large gamme de secteurs, notamment les services informatiques, le commerce de détail, la construction, l’énergie, et l’agriculture. Ses victimes, 270 à ce jour, sont principalement situées en Europe et en Amérique du Nord,dont des entreprises en France, au Royaume-Uni, et aux États-Unis.
Modus operandi : ce rançongiciel s’est distingué à multiples reprises par l’utilisation de la double extorsion. Il emploie des techniques sophistiquées, telles que l’exploitation de la vulnérabilité critique ZeroLogon (CVE-2020-1472) et des outils personnalisés comme l’EDR Kill Shifter, pour pénétrer et contrôler les systèmes de ses victimes.
Perspective : le CERT Synetis estime que RansomHub pourrait devenir l’opérateur majeur des rançongiciels en 2024, compte tenu de son efficacité et de sa croissance rapide.