
Ransomware : que devient RansomHub ?
La vitrine de la franchise n’est plus accessible depuis un mois. Mais l’interface d’administration des affidés serait encore fonctionnelle. Certains d’entre eux suspectent toutefois un énième « exit-scam » et auraient déjà changé de bannière.
Le site vitrine de la franchise mafieuse RansomHub est inaccessible depuis un mois. Et la main tendue par DragonForce, dans un effort d’évolution de son modèle vers une sorte de rançongiciel en mode service (RaaS) en marque blanche, semble avoir fait long feu, au moins pour le moment.
Selon un affidé de RansomHub, l’infrastructure de l’enseigne est toutefois toujours active : il dit l’avoir encore récemment utilisé pour générer le rançongiciel utilisé contre l’une de ses victimes... attaquées à la toute fin du mois d’avril. Mais la confiance pourrait déjà avoir commencé à s’émousser.
Une revendication de cyberattaque contre le casino Jackpot Junction, publiée initialement sous la bannière de RansomHub et apparue mi-avril sur le site vitrine de LockBit 3.0. Ce casino a été attaqué fin mars. Un autre acteur malveillant remarquable, passé de LockBit à RansomHub au printemps 2024, semble désormais officier avec l’enseigne Lynx. Des mouvements qui ne manquent pas d’une certaine ironie.
Car RansomHub est une enseigne apparue en février 2024, avec un niveau initial d’activité (remontant au mois précédent) plutôt modeste. Mais c’était sans compter avec l’exit-scam d’Alphv et l’opération judiciaire internationale Cronos contre LockBit.
À la suite de ces deux incidents, RansomHub a réussi à attirer d’anciens affidés d’Alphv et LockBit 3.0. Cette migration s’est traduite concrètement dans l’activité observable des enseignes : celle de LockBit 3.0 a considérablement reculé après le mois de mai. Tandis que celle de RansomHub décollait rapidement.

Group-IB estime vraisemblable que d’autre acteurs associés à RansomHub aient récemment décidé de passer chez Qilin. Cette enseigne s’est effectivement renforcée en début d’année, mais si son activité observable progresse moins vite que celle d’Akira.
Group-IB vient en outre de publier des captures d’écran de l’interface Web d’administration mise à disposition de ses affidés par les opérateurs de RansomHub, de quoi potentiellement accélérer sa chute par crainte de compromission.