La vostra organizzazione è al sicuro dagli attacchi di ransomware Rhysida?

L'origine di Rhysida

Il ransomware Rhysida è stato osservato per la prima volta nel maggio 2023 e si è rapidamente affermato come un importante gruppo di Ransomware-as-a-Service (RaaS). Conosciuto per aver preso di mira settori critici, Rhysida è stato collegato ad attacchi contro importanti istituzioni come l'esercito cileno e Prospect Medical Holdings, che ha colpito 17 ospedali e 166 cliniche negli Stati Uniti. Il gruppo si presenta come un "team di cybersicurezza" mentre si impegna in una doppia estorsione: criptare i dati e minacciare di renderli pubblici a meno che non venga pagato un riscatto. I collegamenti tra Rhysida e il gruppo di ransomware Vice Society sono sempre più frequenti, poiché sono state osservate somiglianze tecniche e operative.

Il loro nome, "Rhysida", deriva da un tipo di millepiedi e simboleggia il loro approccio furtivo e a più zampe agli attacchi informatici.

^{Fonte dell'immagine:}^CISA

Obiettivi

Obiettivi di Rhysida

Paesi interessati da Rhysida

Attiva principalmente in Nord America, Europa e Australia, Rhysida ha preso di mira organizzazioni in paesi come Stati Uniti, Italia, Spagna e Regno Unito. I loro attacchi si sono estesi a diversi settori, a testimonianza della loro portata globale.

^{Fonte dell'immagine:}^SOCradar

Industrie interessate da Rhysida

Rhysida prende di mira principalmente i settori dell'istruzione, della sanità, della pubblica amministrazione e della produzione, sfruttando le vulnerabilità delle istituzioni critiche. Questi attacchi hanno spesso portato a interruzioni operative e a significative perdite finanziarie e di dati.

^{Fonte dell'immagine:}^{Trend Micro}

Industrie interessate da Rhysida

Rhysida prende di mira principalmente i settori dell'istruzione, della sanità, della pubblica amministrazione e della produzione, sfruttando le vulnerabilità delle istituzioni critiche. Questi attacchi hanno spesso portato a interruzioni operative e a significative perdite finanziarie e di dati.

^{Fonte dell'immagine:}^{Trend Micro}

Vittime di Rhysida

Oltre ad aver attaccato l'esercito cileno, Rhysida ha preso di mira il settore sanitario, compreso un attacco alla Prospect Medical Holdings. Inoltre, è responsabile della violazione di diverse istituzioni educative, compresi gli incidenti che hanno coinvolto l'Università della Scozia occidentale.

^{Fonte dell'immagine:}^{Trend Micro}

Metodo di attacco

Metodo di attacco di Rhysida

Una figura ombrosa che getta un'ampia rete su un paesaggio digitale pieno di vari dispositivi come computer, smartphone e tablet. La rete simboleggia i tentativi dell'attaccante di trovare vulnerabilità o di utilizzare le tecniche di phishing per ottenere un accesso non autorizzato.

Gli attori di Rhysida ottengono l'accesso tramite credenziali compromesse o phishing, utilizzando servizi rivolti all'esterno come le VPN senza autenticazione a più fattori (MFA). Sono stati utilizzati anche exploit come la vulnerabilità Zerologon (CVE-2020-1472).

Una scala digitale che si estende verso l'alto da un'icona utente di base verso una corona che simboleggia i privilegi amministrativi. Questo rappresenta gli sforzi dell'attaccante per ottenere un accesso di livello superiore all'interno del sistema.

Gli aggressori aumentano i privilegi utilizzando strumenti come ntdsutil.exe per estrarre le credenziali del dominio. È stato osservato che i criminali prendono di mira il database NTDS per modificare le password a livello di dominio.

Un camaleonte che si mimetizza in uno sfondo digitale, con zeri e uno che gli scorrono intorno. Questo rappresenta la capacità dell'attaccante di evitare il rilevamento da parte delle misure di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.

Rhysida utilizza spesso PowerShell e PsExec per cancellare i registri degli eventi e gli artefatti forensi, come i file e le cartelle di recente accesso, i registri RDP e la cronologia di PowerShell.

Un ladro con un kit di grimaldelli che lavora su un buco della serratura gigante a forma di modulo di login, che rappresenta gli sforzi dell'attaccante di rubare le credenziali dell'utente per ottenere un accesso non autorizzato.

Il gruppo utilizza strumenti per il dumping delle credenziali come segretodump per estrarre le credenziali dai sistemi compromessi. Queste credenziali consentono agli aggressori di aumentare i privilegi e di aumentare il loro controllo all'interno della rete.

Una lente di ingrandimento che si muove su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per capire la struttura e dove risiedono i dati preziosi.

Gli operatori di Rhysida utilizzano strumenti nativi come ipconfig, whoami, e rete comandi per condurre la ricognizione all'interno dell'ambiente vittima.

Una serie di nodi interconnessi con una figura oscura che si muove furtivamente tra di essi. Questo illustra i movimenti dell'attaccante all'interno della rete, che cerca di ottenere il controllo di altri sistemi o di diffondere malware.

I servizi remoti come RDP e SSH tramite PuTTY sono utilizzati per il movimento laterale. PsExec viene spesso utilizzato per la distribuzione finale del payload del ransomware.

Un grande aspirapolvere che aspira file, icone di dati e cartelle in un sacchetto tenuto da una figura in ombra. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.

Prima di eseguire il payload del ransomware, gli aggressori raccolgono i dati critici, preparandoli per la crittografia o l'esfiltrazione come parte della loro doppia strategia di estorsione.

Una finestra del prompt dei comandi aperta davanti a uno sfondo digitale, con la digitazione di codice dannoso. Questa rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.

Il payload di Rhysida viene distribuito utilizzando PsExec e i dati vengono crittografati con algoritmi di crittografia RSA e ChaCha20 a 4096 bit. Il .rhysida viene aggiunta a tutti i file crittografati.

Una serie di file che vengono convogliati attraverso un canale nascosto da un computer a un sito cloud etichettato con un teschio, che simboleggia il trasferimento non autorizzato di dati a una posizione controllata dall'aggressore.

Il gruppo ricorre alla doppia estorsione, esfiltrazione di dati sensibili per minacciare la divulgazione pubblica se non vengono pagati i riscatti.

Uno schermo incrinato con dietro un paesaggio urbano digitale in preda al caos, che simboleggia l'impatto distruttivo del cyberattacco, come l'interruzione del servizio, la distruzione dei dati o la perdita finanziaria.

Le operazioni di Rhysida culminano tipicamente con gravi interruzioni, criptazione dei dati e richieste di pagamenti in Bitcoin, spesso per milioni.

Accesso iniziale

Gli attori di Rhysida ottengono l'accesso tramite credenziali compromesse o phishing, utilizzando servizi rivolti all'esterno come le VPN senza autenticazione a più fattori (MFA). Sono stati utilizzati anche exploit come la vulnerabilità Zerologon (CVE-2020-1472).

Escalation dei privilegi

Gli aggressori aumentano i privilegi utilizzando strumenti come ntdsutil.exe per estrarre le credenziali del dominio. È stato osservato che i criminali prendono di mira il database NTDS per modificare le password a livello di dominio.

Difesa Evasione

Rhysida utilizza spesso PowerShell e PsExec per cancellare i registri degli eventi e gli artefatti forensi, come i file e le cartelle di recente accesso, i registri RDP e la cronologia di PowerShell.

Accesso alle credenziali

Il gruppo utilizza strumenti per il dumping delle credenziali come segretodump per estrarre le credenziali dai sistemi compromessi. Queste credenziali consentono agli aggressori di aumentare i privilegi e di aumentare il loro controllo all'interno della rete.

Scoperta

Gli operatori di Rhysida utilizzano strumenti nativi come ipconfig, whoami, e rete comandi per condurre la ricognizione all'interno dell'ambiente vittima.

Movimento laterale

I servizi remoti come RDP e SSH tramite PuTTY sono utilizzati per il movimento laterale. PsExec viene spesso utilizzato per la distribuzione finale del payload del ransomware.

Collezione

Prima di eseguire il payload del ransomware, gli aggressori raccolgono i dati critici, preparandoli per la crittografia o l'esfiltrazione come parte della loro doppia strategia di estorsione.

Esecuzione

Il payload di Rhysida viene distribuito utilizzando PsExec e i dati vengono crittografati con algoritmi di crittografia RSA e ChaCha20 a 4096 bit. Il .rhysida viene aggiunta a tutti i file crittografati.

Esfiltrazione

Il gruppo ricorre alla doppia estorsione, esfiltrazione di dati sensibili per minacciare la divulgazione pubblica se non vengono pagati i riscatti.

Impatto

Le operazioni di Rhysida culminano tipicamente con gravi interruzioni, criptazione dei dati e richieste di pagamenti in Bitcoin, spesso per milioni.

MITRE ATT&CK Mappatura

TTP utilizzati da Rhysida

TA0001: Initial Access

T1566

Phishing

T1190

Exploit Public-Facing Application

TA0002: Execution

T1059

Command and Scripting Interpreter

TA0003: Persistence

No items found.

TA0004: Privilege Escalation

No items found.

TA0005: Defense Evasion

T1070

Indicator Removal

TA0006: Credential Access

T1528

Steal Application Access Token

T1003

OS Credential Dumping

TA0007: Discovery

No items found.

TA0008: Lateral Movement

T1021

Remote Services

TA0009: Collection

No items found.

TA0011: Command and Control

No items found.

TA0010: Exfiltration

No items found.

TA0040: Impact

T1657

Financial Theft

Rilevamenti della piattaforma

Come individuare la rhysida con Vectra AI

Elenco dei rilevamenti disponibili nella piattaforma Vectra AI che indicano un attacco ransomware.

M365 Suspicious Power Automate Flow Creation

Ransomware File Activity

SQL Injection Activity

Suspicious Admin

Suspicious Remote Desktop Protocol

Suspicious Remote Execution

Visualizza altri rilevamenti

Valutare l'esposizione agli attacchi

DOMANDE FREQUENTI

Che cos'è il ransomware Rhysida?

Rhysida è un gruppo di Ransomware-as-a-Service che utilizza la doppia estorsione per criptare ed esfiltrare i dati, prendendo di mira settori come la sanità e l'istruzione.

Quando è nata la Rhysida?

Il gruppo è stato osservato per la prima volta nel maggio 2023.

A quali settori si rivolge Rhysida?

Si concentra principalmente sui settori dell'istruzione, della sanità, della produzione, della pubblica amministrazione e dell'IT.

Quali sono i Paesi colpiti dalla Rhysida?

Il gruppo è stato più attivo negli Stati Uniti, nel Regno Unito, in Italia e in Spagna.

Come fa Rhysida ad accedere alle reti?

Gli attori di Rhysida ottengono l'accesso attraverso il sito phishing o sfruttando le vulnerabilità dei servizi rivolti all'esterno, spesso facendo leva su credenziali deboli o rubate.

Quali metodi di crittografia utilizza Rhysida?

Il gruppo utilizza algoritmi di crittografia RSA e ChaCha20 a 4096 bit per bloccare i dati delle vittime.

C'è un legame tra Rhysida e la Vice Society?

Esistono notevoli somiglianze tra i TTP di Rhysida e Vice Society, che suggeriscono una possibile sovrapposizione operativa.

Come possono le organizzazioni proteggersi da Rhysida?

Le organizzazioni devono implementare l'MFA, applicare le patch alle vulnerabilità note e garantire sistemi di backup e ripristino solidi.

Come fa la Rhysida a non farsi scoprire?

Il gruppo utilizza tecniche come la cancellazione dei registri degli eventi, l'eliminazione degli artefatti e l'occultamento delle attività tramite PowerShell.

Quali sono le misure da adottare dopo un attacco di Rhysida?

Le organizzazioni devono isolare i sistemi interessati, conservare le prove forensi, segnalare l'incidente alle forze dell'ordine ed evitare, se possibile, di pagare il riscatto. Si raccomanda inoltre di implementare solide misure di sicurezza, come l'NDR e la segmentazione della rete.