RansomHub is grootste ransomwarebende sinds LockBit werd neergehaald

De ransomware-as-a-serviceaanbieder RansomHub was in 2024 de actiefste ransomwarebende, stelt beveiligingsbedrijf Group-IB. RansomHub is daarmee in het gat van Lockbit gesprongen, dat door politiediensten werd neergehaald.

Group-IB schrijft dat in een rapportage over de staat van ransomware in 2024. Op het moment dat Group-IB dat rapport opstelde, hadden RansomHub en hun affiliates ruim 600 organisaties wereldwijd met ransomware in gijzeling. Het ging daarbij niet alleen om commerciële ondernemingen, maar ook bedrijven en instellingen in de gezondheidszorg, de financiële sector, overheden en kritieke infrastructuren. "Daarmee zet RansomHub zich stevig neer als de actiefste ransomwaregroep in 2024", zegt Group-IB.

RansomHub is daarmee relatief snel opgekomen. De groep werd in februari vorig jaar voor het eerst actief. RansomHub is een ransomware-as-a-servicedienst, waarbij affiliates de ransomware kunnen inkopen in ruil voor het afstaan van een deel van de winst. Een deel van die affiliates zou eerder al verbonden zijn aan grote ransomwareoperaties zoals LockBit en BlackCat. De broncode van RansomHub is deels afkomstig van een oudere ransomwarebende, Knight. RansomHub probeert bij bedrijven binnen te dringen door kwetsbaarheden te misbruiken in onder andere Active Directory of Netlogon.

Met de nieuwe activiteit is RansomHub volgens de onderzoekers in het gat van LockBit gesprongen. Dat gold jarenlang als de actiefste en notoirste ransomwarebende. In februari vorig jaar trad een internationale politiesamenwerking op tegen LockBit. Daarbij werden websites in beslag genomen en een aantal hackers gearresteerd. Daarna ontstond een groot gat, waar meerdere bendes in probeerden te springen en wat RansomHub dus lukte. De opkomst van de bende valt samen met het neerhalen van LockBit.

Group-IB is overigens niet het enige bedrijf dat de opkomst van RansomHub opmerkt. ESET deed dat in december al, net als NCC Group.