“Rhysida” fue observada por primera vez en mayo del 2023. Sin embargo, se descubrió que a principios de ese mismo año ya se encontraba en funcionamiento.
En la actualidad aún se mantiene activo, publicando 91 víctimas en su sitio web de filtraciones. La actividad se coloco en un mayor apogeo desde noviembre del 2023 y con el paso de los meses hasta el momento ha presentado una disminución considerable. La victima más reciente es Unimed Vales do Taquari e Rio Pardo, a quien se le dieron siete días antes de que Rhysida publicara los datos robados.
¿Qué es Rhysida?
La operación que controla Rhysida esta claramente impulsada por motivos financieros, sin embargo, no se conoce mas al respecto de este grupo. No se le conocen alianzas de estado o nación y tampoco apegado a una idea política concreta. Los investigadores creen que el grupo esta ubicado en Rusia o en la comunidad de Estados Independientes, que es un grupo de estados-nación que anteriormente formaban parte de la Unión Soviética. Estas investigaciones tienen como base la observación de que la comunicación realizada entre este grupo tiene presente palabras o frases en ruso. Sumado a esto este grupo apunta a empresas de todo el mundo exceptuando aquellas que se encuentran ubicadas en Rusia, esto sugeriría que se encuentran al alcance de las autoridades rusas.
El nombre que toman de referencia es por el género de ciempiés “Rhysida” según los avalistas pretende proyectar una imagen de sigilo y sombras.
En agosto de 2023, el Centro de Coordinación de Ciberseguridad del Sector Salud (HC3), una agencia que pertenece al departamento de salud y servicios humanos (HHS) de EU. Emitió una alerta sectorial sobre el Ransomware Rhysida y la mayor amenaza para las organizaciones de atención médica y salud pública. En este informe, HC3 afirmo que el Ransomware Rhysida parecía estar en las primeras etapas de desarrollo, y otros analistas señalaron que “las muestras siguen careciendo de características básicas como eliminación de VSS, múltiples mecanismos de persistencia, terminación o desenganche de procesos”. Esto coincidió con otros analistas que especularon que Rhysida era un Malware Novato porque el atacante era visible para el usuario final.
Los ataques maduros están diseñados para operar en segundo plano y permanecer ocultos a la vista. Los ataques de malware novatos son menos sofisticaos y más fáciles de detectar y de mitigar. Rhysida sin embargo mostro ser una amenaza mas avanzada apenas unos meses después de que se publicara la alerta HC3.
¿Cómo funciona Rhysida?
Los operadores de Rhysida utilizan varios métodos para obtener acceso y establecerse dentro de un sistema:
Spear Phishing. Mediante archivos adjuntos maliciosos que ejecutan Malware o redireccionan a un sitio malicioso que facilita la descarga de Malware.
Explotar vulnerabilidades sin parches en servidores web, servidores de correo electrónico u otra infraestructura de red.
Atacar puntos de acceso al protocolo de escritorio remoto (RDP) y a la red privada virtual (VPN). Para acceder a través de estos puntos de acceso, los atacantes pueden utilizar credenciales robadas, o realizar ataques de fuerza bruta.
Implementación de herramientas: administrativas legitimas como PowerShell, WinsSCP, Cobalt Strike, PsExce y otras para el acceso inicial y facilitar el movimiento lateral dentro de las redes comprometidas.
Dependiendo de los ataques visualizados hasta el momento y las personas que los han sufrido se podría decir que los ataques de Phishing, sin embargo, para otras personas mediante un RDP han percibido como el acceso inicial. Cabe mencionar que Rhysida es capaz de utilizar muchos métodos diferentes de acceso.
Una vez que Rhysida se encuentra en el sistema el ataque intensificara instalando su Malware personalizado y preparándose para el evento cifrado en sí:
Se intenta escalar privilegios para obtener permiso de nivel superior en la red. Esto les brinda muchas mas capacidades, incluida la capacidad de volcar y capturar credenciales de red de Windows.
El movimiento lateral se inicia lo antes posible, suele ser mas eficaz una vez que se han incrementado los privilegios. En este punto, se recopila información sobre los sistemas y datos propagando Malware por todo el sistema preparándose para un ataque generalizado.
La exfiltración de datos es el siguiente paso, en el cual roba los datos del sistema antes de inicial el cifrado. Esto le permite amenazar con revelar los datos si la victima se niega a comprar una clave de descifrado.
Una vez que se encuentra el proceso en el punto de cifrado pasa lo siguiente:
El binario del Ransomware se ejecuta mediante PSExec, que es una herramienta del sistema que le permite ejecutar programas en sistemas remotos. Esto permite ampliar el “radio de explosión” a través de la red. El Ransomware deja los datos del servidor y de la estación de trabajo cifrados y renombrados con una extensión de archivo “.rhysida”
Se coloca una nota de rescate en los sistemas infectados. La nota deja instrucciones para el pago y afirma que el equipo de ciberseguridad Rhysida esta notificando a la víctima de una infracción detectada.
Insertar imagen.
La nota del rescate es un archivo en formato PDF llamado “CriticalBreachDetected.pdf”
A partir de este punto la extorsión procede como la mayoría de los ataques de este estilo Ransomware en el cual a las víctimas se les dice como pagar el rescate y se les da un cronograma antes de que sus datos se publiquen o vendan. El nombre de la victima se publica en el sitio de filtración Rhysida junto con capturas de pantalla o fragmentos de datos robados.
Rhysida intenta mantener su presencia en la red para monitorear la situación, hacer cumplir sus demandas y preparar futuros ataques.
Asociaciones destacadas por ser atacadas por Rhysida
Ejército Chileno
Rhysida ataca a empresas de todos los sectores económicos. El grupo capto la atención de la industria de la seguridad con su exitosa violación del ejercito chileno, esta fue descubierta por oficiales del ejercito chileno durante el fin de semana del 27 de mayo del 2024. Obtuvo acceso a través de un ataque de phishing y finalmente filtro alrededor del 30% de los documentos.
Clínicas Medicas.
Rhysida también ha tenido varias víctimas importantes de atención médica, incluidas Unimed, Prospect Medical Holdings y Lurie´s Children´s Hospital. El ataque a Prospect afecto a 17 hospitales y 166 clínicas en todo EUA, Rhysida afirmo haber extraído 1,3 terabytes de ases de datos SQL y un terabyte de documentos.
Conexión con Vice Society
Rhysida y Vice Society estan conectados de alguna manera, pero las opiniones difieren sobre su relación. La mayoría de los inforemes han concluido que Rhysida es un cambio de marca del grupo anterior.
La conexión se basa en tácticas superpuestas y el uso ocasional de las cargas útiles de Ransomware de cada uno. Los métodos de cifrado de Rhysida y la estructura de sus notas de Ransomware también son similares y se ha observado que utiliza los dominios y servidores que en su momento eran utilizados por Vice Society
Vice Society
Es un atacante de Ransomware de doble extorsión que surgió en 2021 y rápidamente se convirtió en una de las principales amenazas para el sector educativo, especialmente las escuelas públicas. Fueron los encargados del ataque masivo al Distrito Escolar de los Ángeles en 2022. La institución no cumplió con el pago por el rescate y el grupo de atacantes cumplió con sus amenazas causando perturbaciones y filtración de miles de registros de estudiantes.
La actividad de Vice Society comenzó a disminuir cuando emergió Rhysida siendo una razón más de la posible conexión que tienen.
¿Cuál es la estrategia por seguir?
La aparición de Vice Society y Rhysida se superponen, al igual que sus tácticas. No ha habido muchas noticias sobre Vice Society desde agosto del 2023. El problema real es que son solo marcas temporales para grupos de atacantes individuales que pueden pasar fácilmente de uno a otro. Los grupos de amenazas detrás de las marcas siempre estan activos, incluso cuando la marca cierra o simplemente desvanece.
La mejor manera de defenderse de ataques de esta índole es adoptar una política de ciberseguridad de zero-trust, asumiendo que todo es un ataque y permite verificar todo a tiempo.
Habilitar la autenticación Multifactor (MFA) para todos los servicios en la medida de lo posible, en particular para correo web, VPN y cuentas que acceden a sistemas críticos. Segmentar redes para evitar la propagación de Ransomware.
Acceso seguro a una amplia gama de sistemas, servicios y aplicaciones mediante una solución de autenticación de múltiples factores basada en la nube. Proteja las cuentas de usuario con un código de acceso dinámico único para cada sesión adicional a la contraseña y reduzca el impacto de la reutilización de contraseñas, esté preparado para cuando ocurra el próximo ataque de robo de datos a gran escala.
La seguridad comienza con el acceso. El modelo Zero Trust Access de Barracuda establece un control de acceso incomparable entre usuarios y dispositivos, desde remotos hasta híbridos, y desde propiedad de la empresa hasta empleados y contratistas. Proporciona acceso remoto, condicional y contextual a los recursos y reduce los riesgos de acceso con privilegios excesivos. Con Zero Trust Access, los empleados y socios pueden acceder a las aplicaciones de Microsoft 365 sin crear superficies de ataque adicionales.
Acércate a nosotros para brindarte más información de nuestro programa de canales:
- Sitio web: www.pccommayorista.comRegistro de canales:
- https://www.pccommayorista.com/Socio-censornet-suite.aspx
- Teléfono: +52 (55) 5599.0670
- Correo de contacto: contacto@pccommayorista.com
JR