Rhysida
Rhysida è un gruppo Ransomware-as-a-Service (RaaS) emerso nel maggio 2023, noto per gli attacchi di doppia estorsione che prendono di mira settori come quello sanitario e dell'istruzione, e ha legami con il famigerato gruppo ransomware Vice Society.
L'origine di Rhysida
Il ransomware Rhysida è stato osservato per la prima volta nel maggio 2023 e si è rapidamente affermato come un importante gruppo di Ransomware-as-a-Service (RaaS). Noto per prendere di mira settori critici, Rhysida è stato collegato ad attacchi contro importanti istituzioni come l'esercito cileno e Prospect Medical Holdings, che hanno colpito 17 ospedali e 166 cliniche negli Stati Uniti. Il gruppo si presenta come un "team di sicurezza informatica" mentre si dedica alla doppia estorsione: crittografare i dati e minacciare di divulgarli pubblicamente a meno che non venga pagato un riscatto. Esistono crescenti collegamenti tra Rhysida e il gruppo di ransomware Vice Society, poiché sono state osservate somiglianze tecniche e operative.
Il loro nome, "Rhysida", deriva da un tipo di millepiedi, che simboleggia il loro approccio furtivo e multiforme agli attacchi informatici.
Fonte immagine: CISA
Paesi presi di mira da Rhysida
Attiva principalmente in Nord America, Europa e Australia, Rhysida ha preso di mira organizzazioni in paesi come Stati Uniti, Italia, Spagna e Regno Unito. I suoi attacchi si sono estesi a vari settori, riflettendo la sua portata globale.
Settori di riferimento di Rhysida
Rhysida prende di mira principalmente i settori dell'istruzione, della sanità, della pubblica amministrazione e manifatturiero, sfruttando le vulnerabilità delle istituzioni critiche. Questi attacchi hanno spesso causato interruzioni operative e perdite finanziarie e di dati significative.
Le vittime di Rhysida
Oltre ad attaccare l'esercito cileno, Rhysida ha preso di mira il settore sanitario, compreso un attacco alla Prospect Medical Holdings. Inoltre, è responsabile della violazione di diverse istituzioni educative, compresi incidenti che hanno coinvolto l'Università della Scozia occidentale.
Metodo di attacco di Rhysida
Gli autori degli attacchi Rhysida ottengono l'accesso tramite credenziali compromesse o phishing, utilizzando servizi esterni come le VPN senza autenticazione a più fattori (MFA). Sono stati utilizzati anche exploit come la vulnerabilità Zerologon (CVE-2020-1472).
Gli aggressori aumentano i privilegi utilizzando strumenti come ntdsutil.exe per estrarre le credenziali di dominio. È stato osservato che prendono di mira il database NTDS per modificare le password a livello di dominio.
Rhysida utilizza spesso PowerShell e PsExec per cancellare i registri degli eventi ed eliminare gli artefatti forensi, come i file e le cartelle a cui si è recentemente avuto accesso, i registri RDP e la cronologia di PowerShell.
Il gruppo utilizza strumenti di credential dumping come secretsdump per estrarre le credenziali dai sistemi compromessi. Queste credenziali consentono agli aggressori di aumentare i propri privilegi e rafforzare il proprio controllo all'interno della rete.
Gli operatori Rhysida utilizzano strumenti nativi come ipconfig, chi sono, e rete comandi per condurre ricognizioni all'interno dell'ambiente della vittima.
Per il movimento laterale vengono utilizzati servizi remoti come RDP e SSH tramite PuTTY. PsExec viene spesso utilizzato per la distribuzione finale del payload del ransomware.
Prima di eseguire il payload del ransomware, gli aggressori raccolgono dati critici, preparandoli per la crittografia o l'esfiltrazione come parte della loro strategia di doppia estorsione.
Il payload di Rhysida viene distribuito utilizzando PsExec e i dati vengono crittografati utilizzando algoritmi di crittografia RSA a 4096 bit e ChaCha20. Il .rhysida L'estensione viene aggiunta a tutti i file crittografati.
Il gruppo ricorre alla doppia estorsione, sottraendo dati sensibili per minacciarne la divulgazione pubblica qualora non venga pagato il riscatto.
Le operazioni di Rhysida culminano solitamente in gravi interruzioni, crittografia dei dati e richieste di pagamenti in Bitcoin, spesso per importi pari a milioni.
Gli autori degli attacchi Rhysida ottengono l'accesso tramite credenziali compromesse o phishing, utilizzando servizi esterni come le VPN senza autenticazione a più fattori (MFA). Sono stati utilizzati anche exploit come la vulnerabilità Zerologon (CVE-2020-1472).
Gli aggressori aumentano i privilegi utilizzando strumenti come ntdsutil.exe per estrarre le credenziali di dominio. È stato osservato che prendono di mira il database NTDS per modificare le password a livello di dominio.
Rhysida utilizza spesso PowerShell e PsExec per cancellare i registri degli eventi ed eliminare gli artefatti forensi, come i file e le cartelle a cui si è recentemente avuto accesso, i registri RDP e la cronologia di PowerShell.
Il gruppo utilizza strumenti di credential dumping come secretsdump per estrarre le credenziali dai sistemi compromessi. Queste credenziali consentono agli aggressori di aumentare i propri privilegi e rafforzare il proprio controllo all'interno della rete.
Gli operatori Rhysida utilizzano strumenti nativi come ipconfig, chi sono, e rete comandi per condurre ricognizioni all'interno dell'ambiente della vittima.
Per il movimento laterale vengono utilizzati servizi remoti come RDP e SSH tramite PuTTY. PsExec viene spesso utilizzato per la distribuzione finale del payload del ransomware.
Prima di eseguire il payload del ransomware, gli aggressori raccolgono dati critici, preparandoli per la crittografia o l'esfiltrazione come parte della loro strategia di doppia estorsione.
Il payload di Rhysida viene distribuito utilizzando PsExec e i dati vengono crittografati utilizzando algoritmi di crittografia RSA a 4096 bit e ChaCha20. Il .rhysida L'estensione viene aggiunta a tutti i file crittografati.
Il gruppo ricorre alla doppia estorsione, sottraendo dati sensibili per minacciarne la divulgazione pubblica qualora non venga pagato il riscatto.
Le operazioni di Rhysida culminano solitamente in gravi interruzioni, crittografia dei dati e richieste di pagamenti in Bitcoin, spesso per importi pari a milioni.
TTP utilizzati da Rhysida
Come rilevare Rhysida con Vectra AI
Elenco delle rilevazioni disponibili nella Vectra AI che potrebbero indicare un attacco ransomware.
Domande frequenti
Che cos'è il ransomware Rhysida?
Rhysida è un gruppo di Ransomware-as-a-Service che utilizza la doppia estorsione per crittografare ed esfiltrare dati, prendendo di mira settori come quello sanitario e dell'istruzione.
Quando è apparsa per la prima volta Rhysida?
Il gruppo è stato osservato per la prima volta nel maggio 2023.
A quali settori si rivolge Rhysida?
Si concentra principalmente sui settori dell'istruzione, della sanità, della produzione, della pubblica amministrazione e dell'IT.
Quali paesi sono colpiti dalla Rhysida?
Il gruppo è stato particolarmente attivo negli Stati Uniti, nel Regno Unito, in Italia e in Spagna.
In che modo Rhysida ottiene l'accesso alle reti?
Gli attori Rhysida ottengono l'accesso tramite phishing sfruttando le vulnerabilità dei servizi rivolti all'esterno, spesso utilizzando credenziali deboli o rubate.
Quali metodi di crittografia utilizza Rhysida?
Il gruppo utilizza algoritmi di crittografia RSA a 4096 bit e ChaCha20 per bloccare i dati delle vittime.
Esiste un legame tra Rhysida e Vice Society?
Esistono notevoli somiglianze tra le TTP di Rhysida e Vice Society, il che suggerisce una possibile sovrapposizione operativa.
Come possono proteggersi le organizzazioni da Rhysida?
Le organizzazioni dovrebbero implementare l'autenticazione a più fattori (MFA), correggere le vulnerabilità note e garantire sistemi di backup e ripristino affidabili.
Come fa Rhysida a evitare di essere scoperta?
Il gruppo utilizza tecniche quali la cancellazione dei registri degli eventi, l'eliminazione degli artefatti e l'occultamento delle attività tramite PowerShell.
Quali misure occorre adottare dopo un attacco di Rhysida?
Le organizzazioni dovrebbero isolare i sistemi colpiti, conservare le prove forensi, segnalare l'incidente alle forze dell'ordine ed evitare, se possibile, di pagare il riscatto. Si raccomanda inoltre di implementare misure di sicurezza robuste, come NDR e segmentazione della rete.