Las tácticas y técnicas del ransomware Rhysida son similares a las de la infame banda de ransomware Vice Society. Los expertos sospechan que Vice Society está utilizando su propia variante de ransomware.
Investigadores de seguridad del Departamento de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP) vincula el malware con una notoria banda de ransomware. Los procedimientos son los mismos en muchos aspectos, como informó el Equipo de Respuesta a Incidentes de Check Point. Esto no significa que Vice Society esté utilizando el nuevo ransomware exclusivamente, sino probablemente principalmente.
Ataques a la salud y la educación
Vice Society ha sido una de las bandas de ransomware más agresivas desde 2021, dirigida principalmente a los sectores de educación y atención médica. En la ciudad estadounidense de Los Ángeles, atacó con éxito el Distrito Escolar Unificado, que es el segundo más grande de su tipo en Estados Unidos e incluye a más de 640.000 estudiantes desde el jardín de infantes hasta el 12º grado (escuela secundaria). Hay más de 900 escuelas y 190 escuelas públicas independientes (escuelas autónomas). Se sabe que Vice Society a veces cambia la carga útil del ransomware, lo que sugiere que ahora está utilizando Rhysida.
Las capacidades del ransomware Rhysida incluyen:
Protocolo de escritorio remoto: Durante la intrusión, los piratas informáticos iniciaron conexiones RDP y tomaron medidas para eliminar registros y entradas de registro asociados, lo que dificultó la detección y el análisis. RDP sigue siendo un enfoque eficaz para realizar movimientos laterales dentro del entorno de TI.
Sesiones remotas de PowerShell (WinRM): Mientras se conectaba de forma remota a través de RDP, se observó que el actor de amenazas iniciaba conexiones remotas de PowerShell a servidores dentro del entorno. Esto sucedió en los días previos a que se implementara la carga útil del ransomware.
PsExec: La carga útil del ransomware se distribuyó mediante PsExec desde un servidor dentro del entorno de TI. El despliegue se llevó a cabo en dos fases.
Copiar la carga maliciosa usando el comando PsExec.exe -d
\\VICTIM_MACHINE -u "DOMINIO\ADMIN" -p "Contraseña" -s cmd /c COPY "\\path_to_ransomware\payload.exe" "C:\windows\temp"
Ejecutar la carga maliciosa usando el comando PsExec.exe -d
\\VICTIM_MACHINE -u "DOMINIO\ADMIN"" -p "Contraseña" -s cmd /cc:\windows\temp\payload.exe.
Ataques de ransomware Rhysida desde mayo de 2023
El ransomware Rhysida fue descubierto en mayo de 2023 y desde entonces se le ha atribuido varios ataques eficaces, como el ataque contra el ejército chileno. En los Estados Unidos de América (EE.UU.), estaría presuntamente detrás de un ataque contra Prospect Medical Holdings, que afectó a 17 hospitales y 166 clínicas. Posteriormente, el Departamento de Salud y Servicios Humanos de EE. UU. declaró que el ransomware Rhysida era una “amenaza significativa” para la atención médica.
Más en CheckPoint.com
Sobre el punto de control Check Point Software Technologies GmbH (www.checkpoint.com/de) es un proveedor líder de soluciones de ciberseguridad para administraciones públicas y empresas de todo el mundo. Las soluciones protegen a los clientes de los ataques cibernéticos con una tasa de detección de malware, ransomware y otros tipos de ataques líder en la industria. Check Point ofrece una arquitectura de seguridad de varias capas que protege la información corporativa en la nube, la red y los dispositivos móviles, y el sistema de administración de seguridad de "un punto de control" más completo e intuitivo. Check Point protege a más de 100.000 XNUMX empresas de todos los tamaños.