Rhysida
Rhysida è un gruppo di tipo Ransomware-as-a-Service (RaaS) emerso nel maggio 2023, noto per gli attacchi di doppia estorsione rivolti a settori quali la sanità e l'istruzione, e legato al famigerato gruppo di ransomware Vice Society.
L'origine di Rhysida
Il ransomware Rhysida è stato individuato per la prima volta nel maggio 2023 e si è rapidamente affermato come uno dei principali gruppi di Ransomware-as-a-Service (RaaS). Noto per prendere di mira settori critici, Rhysida è stato collegato ad attacchi contro importanti istituzioni come l’Esercito cileno e Prospect Medical Holdings, che hanno colpito 17 ospedali e 166 cliniche negli Stati Uniti. Il gruppo si presenta come un “team di sicurezza informatica” mentre si dedica alla doppia estorsione: crittografa i dati e minaccia di renderli pubblici a meno che non venga pagato un riscatto. Si stanno rafforzando i legami tra Rhysida e il gruppo di ransomware Vice Society, poiché sono state osservate somiglianze tecniche e operative.
Il loro nome, "Rhysida", deriva da una specie di millepiedi e simboleggia il loro approccio furtivo e "multipiedi" agli attacchi informatici.
Fonte dell'immagine: CISA
Paesi in cui opera Rhysida
Operando principalmente in Nord America, Europa e Australia, Rhysida ha preso di mira organizzazioni in paesi quali Stati Uniti, Italia, Spagna e Regno Unito. I suoi attacchi hanno interessato diversi settori, a testimonianza della sua portata globale.
Settori di riferimento di Rhysida
Rhysida prende di mira principalmente i settori dell'istruzione, della sanità, della pubblica amministrazione e dell'industria manifatturiera, sfruttando le vulnerabilità presenti in istituzioni strategiche. Questi attacchi hanno spesso causato interruzioni operative e ingenti perdite finanziarie e di dati.
Le vittime di Rhysida
Oltre ad aver preso di mira l'esercito cileno, Rhysida ha colpito anche il settore sanitario, con un attacco ai danni di Prospect Medical Holdings. Inoltre, è responsabile di diverse violazioni ai danni di istituti scolastici, tra cui alcuni episodi che hanno coinvolto l'Università della Scozia occidentale.
Il metodo di attacco di Rhysida
Gli autori di attacchi Rhysida ottengono l'accesso tramite credenziali compromesse o phishing, sfruttando servizi accessibili dall'esterno come le VPN prive di autenticazione a più fattori (MFA). Sono stati utilizzati anche exploit quali la vulnerabilità Zerologon (CVE-2020-1472).
Gli aggressori ottengono privilegi più elevati utilizzando strumenti come ntdsutil.exe per estrarre le credenziali di dominio. È stato osservato che prendono di mira il database NTDS per modificare le password a livello di dominio.
Rhysida utilizza spesso PowerShell e PsExec per cancellare i registri degli eventi ed eliminare le tracce forensi, come i file e le cartelle a cui si è acceduto di recente, i registri RDP e la cronologia di PowerShell.
Il gruppo utilizza strumenti di dumping delle credenziali come secretsdump per estrarre le credenziali dai sistemi compromessi. Queste credenziali consentono agli aggressori di elevare i propri privilegi e rafforzare il proprio controllo all'interno della rete.
Gli operatori di Rhysida utilizzano strumenti nativi come ipconfig, chi sono, e netto comandi per effettuare ricognizioni all'interno dell'ambiente della vittima.
Per gli spostamenti laterali vengono utilizzati servizi remoti come RDP e SSH tramite PuTTY. PsExec viene spesso impiegato per la distribuzione del payload finale del ransomware.
Prima di eseguire il payload del ransomware, gli hacker raccolgono dati critici, preparandoli per la crittografia o l'esfiltrazione nell'ambito della loro strategia di doppia estorsione.
Il payload di Rhysida viene distribuito tramite PsExec e i dati vengono crittografati utilizzando algoritmi di crittografia RSA a 4096 bit e ChaCha20. Il .rhysida L'estensione viene aggiunta a tutti i file crittografati.
Il gruppo ricorre alla doppia estorsione, sottraendo dati sensibili per minacciare di renderli pubblici qualora non venissero pagati i riscatti.
Le operazioni di Rhysida si traducono solitamente in gravi interruzioni dei servizi, crittografia dei dati e richieste di pagamenti in Bitcoin, che spesso ammontano a milioni.
Gli autori di attacchi Rhysida ottengono l'accesso tramite credenziali compromesse o phishing, sfruttando servizi accessibili dall'esterno come le VPN prive di autenticazione a più fattori (MFA). Sono stati utilizzati anche exploit quali la vulnerabilità Zerologon (CVE-2020-1472).
Gli aggressori ottengono privilegi più elevati utilizzando strumenti come ntdsutil.exe per estrarre le credenziali di dominio. È stato osservato che prendono di mira il database NTDS per modificare le password a livello di dominio.
Rhysida utilizza spesso PowerShell e PsExec per cancellare i registri degli eventi ed eliminare le tracce forensi, come i file e le cartelle a cui si è acceduto di recente, i registri RDP e la cronologia di PowerShell.
Il gruppo utilizza strumenti di dumping delle credenziali come secretsdump per estrarre le credenziali dai sistemi compromessi. Queste credenziali consentono agli aggressori di elevare i propri privilegi e rafforzare il proprio controllo all'interno della rete.
Gli operatori di Rhysida utilizzano strumenti nativi come ipconfig, chi sono, e netto comandi per effettuare ricognizioni all'interno dell'ambiente della vittima.
Per gli spostamenti laterali vengono utilizzati servizi remoti come RDP e SSH tramite PuTTY. PsExec viene spesso impiegato per la distribuzione del payload finale del ransomware.
Prima di eseguire il payload del ransomware, gli hacker raccolgono dati critici, preparandoli per la crittografia o l'esfiltrazione nell'ambito della loro strategia di doppia estorsione.
Il payload di Rhysida viene distribuito tramite PsExec e i dati vengono crittografati utilizzando algoritmi di crittografia RSA a 4096 bit e ChaCha20. Il .rhysida L'estensione viene aggiunta a tutti i file crittografati.
Il gruppo ricorre alla doppia estorsione, sottraendo dati sensibili per minacciare di renderli pubblici qualora non venissero pagati i riscatti.
Le operazioni di Rhysida si traducono solitamente in gravi interruzioni dei servizi, crittografia dei dati e richieste di pagamenti in Bitcoin, che spesso ammontano a milioni.
TTP utilizzati da Rhysida
Come individuare Rhysida con Vectra AI
Elenco dei rilevamenti disponibili nellaVectra AI che potrebbero indicare un attacco ransomware.
Domande frequenti
Cos'è il ransomware Rhysida?
Rhysida è un gruppo di ransomware-as-a-service che ricorre alla doppia estorsione per crittografare e sottrarre dati, prendendo di mira settori quali la sanità e l'istruzione.
Quando è nata Rhysida?
Il gruppo è stato osservato per la prima volta nel maggio 2023.
A quali settori si rivolge Rhysida?
Si concentra principalmente sui settori dell'istruzione, della sanità, dell'industria manifatturiera, della pubblica amministrazione e dell'informatica.
Quali paesi sono interessati da Rhysida?
Il gruppo ha svolto la maggior parte delle sue attività negli Stati Uniti, nel Regno Unito, in Italia e in Spagna.
In che modo Rhysida riesce ad accedere alle reti?
Gli attori di Rhysida ottengono l'accesso tramite phishing sfruttando le vulnerabilità dei servizi esposti verso l'esterno, spesso utilizzando credenziali deboli o rubate.
Quali metodi di crittografia utilizza Rhysida?
Il gruppo utilizza algoritmi di crittografia RSA a 4096 bit e ChaCha20 per bloccare i dati delle vittime.
Esiste un legame tra Rhysida e Vice Society?
Esistono notevoli somiglianze tra le pratiche operative (TTP) di Rhysida e Vice Society, il che fa supporre una possibile sovrapposizione a livello operativo.
In che modo le organizzazioni possono proteggersi da Rhysida?
Le organizzazioni dovrebbero adottare l'autenticazione a più fattori (MFA), correggere le vulnerabilità note e garantire sistemi di backup e ripristino affidabili.
In che modo Rhysida riesce a non farsi scoprire?
Il gruppo ricorre a tecniche quali la cancellazione dei registri degli eventi, l'eliminazione delle tracce e l'occultamento delle attività tramite PowerShell.
Quali misure occorre adottare dopo un attacco di Rhysida?
Le organizzazioni dovrebbero isolare i sistemi compromessi, conservare le prove forensi, segnalare l'incidente alle forze dell'ordine ed evitare, se possibile, di pagare il riscatto. Si raccomanda inoltre di adottare misure di sicurezza efficaci, quali l'NDR e la segmentazione della rete.