O FBI e o CISA alertaram hoje sobre os ataques oportunistas da gangue de ransomware Rhysida visando organizações em vários setores da indústria.
Rhysida, uma empresa de ransomware que emergiu em maio de 2023, ganhou notoriedade rapidamente após violar o Exército Chileno (Ejército de Chile) e vazar dados roubados online.
Recentemente, o Departamento de Saúde e Serviços Humanos dos EUA (HHS) também alertou que a gangue Rhysida era responsável por recentes agressões a organizações de saúde.
O alerta conjunto de cibersegurança de hoje fornece aos defensores indicadores de comprometimento (IOCs), informações de detecção e táticas, técnicas e procedimentos (TTPs) do Rhysida descobertos durante as investigações a partir de setembro de 2023.
"Atores de ameaças que utilizam o ransomware Rhysida são conhecidos por impactar 'alvos de oportunidade', incluindo vítimas nos setores educacional, saúde, fabricação, tecnologia da informação e governo", observaram as duas agências.
"Observado como um modelo de ransomware como serviço (RaaS), os atores do Rhysida comprometeram organizações nos setores de educação, fabricação, tecnologia da informação e governo e qualquer resgate pago é dividido entre o grupo e afiliados."
Os atacantes do Rhysida também foram detectados invadindo serviços remotos voltados para o exterior (como VPNs que permitem aos usuários corporativos acessar ativos da empresa a partir de locais externos) usando credenciais roubadas para estabelecer acesso inicial e manter uma presença nas redes das vítimas.
Isso foi possível ao atingir organizações que não habilitaram a Autenticação Multifatorial (MFA) por padrão em todo o seu ambiente.
Além disso, os atores maliciosos do Rhysida são conhecidos por ataques de phishing e por explorar o Zerologon (
CVE-2020-1472
), uma vulnerabilidade crítica que permite a escalada de privilégios do Windows no Protocolo Remoto Netlogon da Microsoft.
O FBI e o CISA adicionam que os afiliados associados ao grupo de ransomware da Vice Society, rastreados pela Microsoft como Vanilla Tempest ou DEV-0832, passaram a usar cargas úteis de ransomware do Rhysida durante seus ataques.
Sophos, Check Point Research e a pesquisa PRODAFT notaram essa mudança ocorrendo aproximadamente em julho de 2023, logo após o Rhysida começar a adicionar vítimas ao seu site de vazamento de dados.
Os defensores de redes são aconselhados a aplicar as medidas de mitigação descritas no alerta conjunto de hoje para minimizar a probabilidade e a gravidade de incidentes de ransomware como o Rhysida.
No mínimo, é crucial priorizar a correção de vulnerabilidades sob exploração ativa, habilitar o MFA em todos os serviços (particularmente para contas de sistema críticas, webmail e VPN) e usar a segmentação de rede para bloquear tentativas de movimentação lateral.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...