TLP: CLEAR

Boletín de
Inteligencia de
Amenazas –
RansomHouse
Ransomware

14 septiembre 2023

1 | 14

TLP CLEAR: Este documento puede ser compartido sin restricciones.

Este documento pertenece a GBM y es clasificado: EXTERNO
 Referente a los ciberataques que GBM Cybersecurity Center ha
atendido con sus servicios de Incident Response 24/7 y Managed
Detection & Response recientemente.

GBM Cybersecurity Center insta a todos sus clientes y organizaciones de la

región centroamericana y el caribe a reforzar sus medidas de seguridad
cibernética.
Se presentan una serie de técnicas, tácticas y procedimientos (TTPs) e
Indicadores de compromiso (IoCs) identificados de la campaña maliciosa
por Ransomhouse Ransomware que se recomienda gestionar en sus
controles de ciberseguridad.
También se presenta una serie de buenas prácticas recomendadas para
prevenir un ataque cibernético.

RANSOMHOUSE RANSOMWARE

RansomHouse inició su actividad en diciembre de 2021. La primera mención

de este grupo se produjo con la publicación de un Ransomware llamado
White Rabbit. Al parecer RansomHouse ayudó al desarrollo de ese malware,
pero indicando que ellos no usaban Ransomware en sus ataques.

2 | 14

Este documento pertenece a GBM y es clasificado: EXTERNO

 RansomHouse se encarga de robar datos y luego inicia las negociaciones
para que las entidades afectadas puedan evitar que esos datos se vendan
a otras partes interesadas o sean expuestas públicamente.

Durante sus ataques a ocho municipios de Italia, los autores de la amenaza

cambiaron el nombre a "Mario" en homenaje al héroe italiano del juego
Super Marios Bros.

Este nuevo Ransomware encripta dispositivos Windows y Linux y añade la

extensión '.mario' a los archivos encriptados, al tiempo que deja caer notas
de rescate llamadas 'How To Restore Your Files.txt'.

Modus Operandi

Hasta ahora, el modelo de RansomHouse ha pasado por el robo de datos

aprovechando vulnerabilidades en los sistemas internos de una
organización. Una vez han conseguido los datos, el modus operandi del
Ransomware consiste en negociar un pago para recuperarse del
ciberataque.

3 | 14

Este documento pertenece a GBM y es clasificado: EXTERNO

 En caso de que la víctima no pague, esa información solía quedarse
encriptada e inaccesible una operativa que ha cambiado en el último año
para añadir una forma de extorsión adicional y que habría sido asumida por
RansomHouse.
Así, ahora los atacantes aprovechan para tratar de vender esos datos y, si
no lo consiguen, los publican en su propia web, una forma de extorsión
adicional.

El grupo también utiliza Telegram para otras campañas de relaciones

públicas. Por ejemplo, publican mensajes en varios grupos cibernéticos de
Telegram donde anuncian los nombres de las últimas víctimas de la filtración
de datos y dan a conocer sus sitios Tor y grupos de Telegram.

Algunos de sus canales de comunicación en los cuales estar al tanto de sus

ataques pueden ser:

• Telegram
• TOR
• Twitter

**Fin de página**

4 | 14

Este documento pertenece a GBM y es clasificado: EXTERNO

 ¿QUIENES HAN SIDO ATACADOS?

El primer ataque en el que hubo registro de RansomHouse fue el 25 de

diciembre del 2021 a la Saskatchewan Liquor and Gaming Authority, la
autoridad la provincia canadiense de Saskatchewan encargada de la
distribución, control y regulación de bebidas alcohólicas, cannabis y juegos de
azar.

Desde marzo del 2022 se reportaron más perjudicados por estos ataques de
robos de datos como el banco Jefferson Credit Union con sede en Alabama,
la compañía de manufactura ferroviaria Dellner Couplers , la agencia de
control de aerolíneas AHS Group Alemania y Shoprite Group, una de las
cadenas de supermercados más grandes del sur de África.

El ataque más reciente es a la compañía multinacional IFX Networks principal

proveedora de telecomunicaciones en Colombia, que tuvo que activar su
sistema de seguridad luego de identificar un ataque cibernético Ransomware
en sus máquinas.

**Fin de página**

5 | 14

Este documento pertenece a GBM y es clasificado: EXTERNO

 TACTICAS, TECNICAS Y PROCEDIMIENTOS (TTPs)

Muchas de las tácticas de RansomHouse son similares a las del grupo de

extorsión de datos Lapsus$. Al igual que Lapsus$, algunos han clasificado
a RansomHouse como un grupo de Ransomware. Esto es un error, ya que
ambos grupos no cifran los datos de las redes objetivo.

Las notas de rescate de White Rabbit (una cepa de Ransomware con

posibles vínculos con la red de delincuencia financiera FIN8) fueron de
las primeras en mencionar a RansomHouse. Sin embargo, RansomHouse
insiste en que sólo se asoció con White Rabbit.

RansomHouse se centran en la exfiltración de datos sin módulos de

cifrado. Su objetivo es el beneficio económico, y los actores de la
amenaza operan manualmente, centrándose en una víctima cada vez.
RansomHouse mantiene sus acciones simples y precisas, invirtiendo
recursos en la exfiltración de datos y la investigación de vulnerabilidades.
Este modelo hace que sus ataques sean menos complejos que cifrar los
activos de sus víctimas.

RansomHouse enumera las URL de las publicaciones en los medios de

comunicación de las víctimas que están siendo extorsionadas
activamente. Lo hacen para destacar la publicidad de sus ataques
como método de extorsión secundario.

Los actores de la amenaza también afirmaron que muchas

organizaciones se niegan a invertir el dinero necesario para asegurar sus
infraestructuras y no ofrecen suficientes planes de recompensas por fallos
o bugs encontrados.

Aunque RansomHouse está claramente motivado por el dinero, el grupo

también ha criticado las deficientes prácticas de seguridad de AMD.
Después de atacar AMD, el grupo declaró que era vergonzoso que una
entidad tecnológica de alto perfil como AMD permitiera a sus empleados
utilizar credenciales débiles.

6 | 14

Este documento pertenece a GBM y es clasificado: EXTERNO

 GUÍA DE MITIGACIÓN Y HARDENING CONTRA RANSOMHOUSE

Se recomienda tomar en cuenta las siguientes recomendaciones para no

correr alto riesgo de posibles amenazas de Ransomware

• Generar una regla personalizada para bloqueos de IOC’s en perfiles

entrantes perimetrales.
• Instalar las actualizaciones del fabricante disponibles en medios
oficiales del proveedor, previo análisis del impacto que podría
provocar en los servicios críticos para el negocio de su organización.
Para ello consulte con su personal técnico o áreas resolutorias
correspondientes.
• Realizar Backup de todos los sistemas que posea dentro de su
organización.
• Bajo ningún motivo almacenar los Backup dentro del mismo servidor,
equipo o red local.
• Comprobar que las copias de seguridad y los mecanismos de
restauración funcionan.
• Asegúrese de que los productos integrados existentes de filtrado y
detección están habilitados y operando de manera correcta.
• Verificar que sus soluciones de detección de amenazas estén con
sus firmas actualizadas y operando de forma correcta.
• Comprobar que las copias de seguridad y los mecanismos de
restauración funcionan.
• Deshabilite la comunicación remota de PowerShell en Exchange
Online para los usuarios habituales de M365.
• Si su organización utiliza servicios en la nube, asegúrese de que el
personal TI haya revisado e implementado controles de seguridad
estrictos, como los que se indican a continuación:
• Implemente políticas de acceso restrictivo, según las necesidades de
su organización.

7 | 14

Este documento pertenece a GBM y es clasificado: EXTERNO

 Recomendaciones Técnicas

• En una Infraestructura Windows, los Domain Admin solo deberían de ser

utilizados para administrar los Domain Controllers. Los servidores y
Workstations deben de ser manejados con Administradores Locales con
contraseñas únicas a través de Microsoft Local Administrator Password
Solution (LAPS) o el uso de un Privileged Access Management (PAM).
Esto mitiga en gran medida los movimientos laterales de un atacante y
la propagación de Ransomware. Referencia: Microsoft.

• Monitorear el tráfico de salida de la Infraestructura Tecnológica,

principalmente por volumen para detectar exfiltraciones de
información. Asimismo, las conexiones concurrentes y permanentes
para detectar actividades de Command & Control (C2).

• Implementar y monitorear un Network Detection and Response (NDR)

en la red interna y el perímetro, para detectar comportamientos
anómalos en la red.

**Fin de página**

8 | 14

Este documento pertenece a GBM y es clasificado: EXTERNO

 IOCs RansomHouse
DIRECCIONES IP
IPs
109[.]70[.]26[.]37
162[.]0[.]235[.]197
192[.]3[.]157[.]96
194[.]85[.]61[.]76
20[.]190[.]160[.]17
20[.]190[.]160[.]20
20[.]190[.]160[.]22
20[.]80[.]129[.]13
20[.]99[.]132[.]105
20[.]99[.]184[.]37
23[.]216[.]147[.]64
40[.]126[.]32[.]133
47[.]75[.]127[.]193
47[.]91[.]93[.]231
5[.]101[.]49[.]142
8[.]209[.]75[.]209
91[.]239[.]235[.]200
13[.]107[.]4[.]52
104[.]18[.]14[.]101
162[.]159[.]135[.]233
162[.]159[.]134[.]233
162[.]159[.]133[.]233
162[.]159[.]129[.]233
13[.]107[.]4[.]50
23[.]35[.]69[.]66
23[.]35[.]69[.]48
23[.]35[.]69[.]42
23[.]35[.]69[.]35
23[.]35[.]69[.]32
23[.]35[.]69[.]10
109[.]70[.]26[.]37
23[.]216[.]147[.]61

9 | 14

Este documento pertenece a GBM y es clasificado: EXTERNO

 FILEHASH-MD5
FIleHash-MD5
0148dc4f8a43b7fa1c31578f1a3c13bf
09d5701f1f4a6d50f9833fc78d3f2371
0e5bd98bcf1ef9bef39f19f41e1aabfb
0f77484639b1193ad66e313040c92571
121f5beface8337c7105cc6a257a87ed
13d8c2f2cdf5f6208c3e999621019304
1a7ddd5e16d0fc9c3969d1c63e5c6cda
1f640e3f37ec3b93c958c5910eb6a3e7
21dd14135e2dc4b22591ab35cf98b115
22dce5b7daed8cfb14aa9e8e7eed1d2f
291bea114eb566d39f69d8c2af059548
29250c34e78857b17ee2576f68757d01
2c72015e22b53c215403979536bce826
2f121145ea11b36f9ade0cb8f319e40a
341c316be98f624f7321d198c5345bc9
34b2b644c22861346ed07b4c7eeea7fb
3e7591082b36244767c1b5393a44f846
43c89b8dc5f9cac3d143238ba74c9002
518a38b47292b1e809c5e6f0bb1858be
5355cce5601f471579f6154708d87fd7
55044ed5d04a20844fcedb17a3f5bb31
5990a32cddde5978959321237f9b0ee1
6953d6e1a2d8df8e0d2e76263e8b3115
71852d35ddc0e13d2d830fcf6d185171
77d0a95415ef989128805252cba93dc2
842d42bb052a77759c8f55d46021b2e0
860b89a4138f744adbe41cee1de0848f
8ba537f8d00a73d6cc1cc5dffa566ed1
a15419df02ffae775b6231dd77fd9c6f
a735ff10e359539181c1eca593091ee6
ab8f0580cc0d74e0215e7de19515c8a6
ae3353674bf514175deda25b96496a83
d0c67160c740f62c25b0558e9563a824
d14aab030b254bae3c6977c71cbc8a0b
da07dd4894c10fe94eba4f32ae4a57e6
de9d7afe742c551522bafb785c706f4f
e3f6878bcafe2463f6028956f44a6e74
e4e439fc5ade188ba2c69367ba6731b6
e58b77e4de54b09be77c852436a904b6

10 | 14

Este documento pertenece a GBM y es clasificado: EXTERNO

 FILEHASH-SHA256

FileHash- SHA256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11 | 14

Este documento pertenece a GBM y es clasificado: EXTERNO

 URL

URL
http://helpqvrg3cc5mvb3[.]onion/
http://yip[.]su/2QstD5
http://yip[.]su/2QstD5:

DOMINIOS

Dominios
mmcbkgua72og66w4jz3qcxkkhefax754pg6iknmtfujvkt2j65ffraad[.]onion
mmeeiix2ejdwkmseycljetmpiwebdvgjts75c63camjofn2cjdoulzqd[.]onion
mrv44idagzu47oktcipn6tlll6nzapi6pk3u7ehsucl4hpxon45dl4yd[.]onion

EMAIL

Email
filessupport@cock[.]li
filessupport@onionmail[.]org
rick5@xmpp[.]jp
pr0team@protonmail[.]com

**Fin de página**

12 | 14

Este documento pertenece a GBM y es clasificado: EXTERNO

 REFERENCIAS
ENLACES
- infobae
- Mandiant Advantage Threat Intelligence

**Fin de documento**

13 | 14

Este documento pertenece a GBM y es clasificado: EXTERNO

 ®
www.gbm.net | mercadeo@gbm.net | GBMCorp
Contacte a GBM en su país y marque la extensión 3840 (Contact Center)
GT (502)2424-2222 | ES (503)2505-9600 | HN (504)2232-3219/09 | NI (505)2255-6630
CR (506)2284-3999 | PA (507)300-4800 | RD (809)566-5161 | MI +1(305)597-3998

Información de Contacto
Para más información escribir al correo de GBM Cybersecurity
Center: Cybersecurity_Center@gbm.net / cybersoc@gbm.net o
consultar nuestro RFC 2350 en el sitio:
https://www.gbm.net/es/ciberseguridad/rfc-2350/

14 | 14

Este documento pertenece a GBM y es clasificado: EXTERNO