A operação de ransomware da Rhysida está ganhando notoriedade após uma onda de ataques a organizações de saúde, forçando agências governamentais e empresas de cibersegurança a prestar mais atenção em suas operações.
Seguindo um boletim de segurança do Departamento de Saúde e Serviços Humanos dos EUA (HHS), CheckPoint, Cisco Talos e Trend Micro lançaram relatórios sobre a Rhysida, focando em diferentes aspectos das operações do ator de ameaças.
Anteriormente, em junho, a Rhysida chamou a atenção pela primeira vez depois de vazar documentos roubados do Exército Chileno em seu site de vazamento de dados.
Na época, uma análise preliminar do criptografador da Rhysida por SentinelOne mostrou que o ransomware estava em desenvolvimento inicial, faltando recursos padrão vistos na maioria das cepas, como mecanismos de persistência, limpeza do Volume Shadow Copy, término de processo, etc.
"Este é um alerta automatizado da equipe de cibersegurança da Rhysida", lê-se na nota de resgate da Rhysida.
"Uma situação infeliz surgiu - seu ecossistema digital foi comprometido e uma quantidade substancial de dados confidenciais foi exfiltrada de sua rede."
Enquanto algumas operações de ransomware afirmam não ter como alvo intencionalmente organizações de saúde e até fornecem chaves de descriptografia gratuitas se feito por engano, a Rhysida não parece seguir a mesma política.
O site de vazamento de dados da Rhysida na dark web lista uma organização de saúde na Austrália, dando-lhes uma semana para pagar o resgate antes que os dados roubados sejam vazados.
Um boletim publicado pelo Departamento de Saúde e Serviços Humanos dos EUA (HHS) alertou semana passada que, enquanto a Rhysida ainda usa um bloqueador elementar, a escala de suas atividades aumentou para proporções perigosas e, recentemente, os atores de ameaças demonstraram um foco no setor de saúde e público.
"Suas vítimas estão distribuídas por vários países na Europa Ocidental, América do Norte, América do Sul e Austrália", lê-se no boletim do HHS.
"Eles atacam principalmente os setores de educação, governo, manufatura e provedores de serviços de tecnologia e gerenciados; no entanto, recentemente houve ataques contra o setor de Saúde e Saúde Pública (HPH)."
Fontes disseram ao BleepingComputer que a Rhysida está por trás de um recente ciberataque à Prospect Medical Holdings, que ainda sofre um apagão em todo o sistema afetando 17 hospitais e 166 clínicas nos Estados Unidos.
No entanto, a Rhysida ainda não assumiu a responsabilidade pelo ataque e a PMH não respondeu aos e-mails sobre se a gangue de ransomware está por trás do ataque.
Um relatório da Trend Micro divulgado hoje se concentra na cadeia de ataque da Rhysida mais comumente observada, explicando que o grupo de ameaças usa e-mails de phishing para obter acesso inicial, em seguida, implanta Cobalt Strike e scripts do PowerShell e, eventualmente, coloca o bloqueador.
Uma observação interessante dos analistas da Trend Micro é que os scripts do PowerShell usados pelos operadores da Rhysida terminam os processos AV, deletam cópias sombra e modificam configurações do RDP, indicando o desenvolvimento ativo do bloqueador.
Um criptografador de ransomware em si geralmente lida com essas tarefas, mas para a operação da Rhysida, eles usam scripts externos para alcançar os mesmos propósitos.
O relatório da Cisco Talos confirma que o bloqueador mais recente da Rhysida usa uma chave RSA de 4096 bits com o algoritmo ChaCha20 para criptografia de arquivos e agora exclui vários diretórios.
O relatório da CheckPoint dá um passo adiante, vinculando a Rhysida à agora extinta operação de ransomware Vice Society, com base nos horários de publicação das vítimas nos dois sites de extorsão e seus padrões de direcionamento de vítimas semelhantes.
Em conclusão, a Rhysida se estabeleceu rapidamente no espaço de ransomware, alvejando organizações em vários setores e sem hesitação em atacar hospitais.
Embora o RaaS parecesse avançar muito rapidamente em termos de operações, enquanto o aspecto técnico ficava para trás, desenvolvimentos nessa frente mostram que o bloqueador está alcançando.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...