As táticas e técnicas do ransomware Rhysida são semelhantes às da infame gangue de ransomware Vice Society. Os especialistas suspeitam que a Vice Society esteja usando sua própria variante de ransomware.
Pesquisadores de segurança do Departamento de Inteligência de Ameaças da Check Point® Software Technologies Ltd. (NASDAQ: CHKP) vinculam o malware a uma notória gangue de ransomware. Os procedimentos são os mesmos em muitos aspectos, conforme relatado pela Equipe de Resposta a Incidentes da Check Point. Isso não significa que a Vice Society esteja usando exclusivamente o novo ransomware, mas provavelmente principalmente.
Ataques à saúde e à educação
A Vice Society tem sido uma das gangues de ransomware mais agressivas desde 2021, visando principalmente os setores de educação e saúde. Na cidade norte-americana de Los Angeles, atacou com sucesso o Distrito Escolar Unificado, que é o segundo maior do género nos EUA e inclui mais de 640.000 alunos do jardim de infância ao 12.º ano (ensino secundário). Existem mais de 900 escolas e 190 escolas públicas independentes (escolas charter). Sabe-se que a Vice Society às vezes altera a carga útil do ransomware, o que sugere que agora ela está usando o Rhysida.
Os recursos do ransomware Rhysida incluem:
Protocolo de área de trabalho remota: Durante a invasão, os hackers iniciaram conexões RDP e tomaram medidas para remover logs e entradas de registro associados, dificultando a detecção e a análise. O RDP continua sendo uma abordagem eficaz para realizar movimentos laterais no ambiente de TI.
Sessões remotas do PowerShell (WinRM): Ao se conectar remotamente via RDP, o agente da ameaça foi observado iniciando conexões remotas do PowerShell com servidores no ambiente. Isso aconteceu dias antes da implantação da carga útil do ransomware.
PsExec: A própria carga do ransomware foi distribuída usando PsExec de um servidor dentro do ambiente de TI. A implantação ocorreu em duas fases.
Copiando a carga maliciosa usando o comando PsExec.exe -d
\\VICTIM_MACHINE -u "DOMÍNIO\ADMIN" -p "Senha" -s cmd /c COPY "\\caminho_para_ransomware\payload.exe" "C:\windows\temp"
Executando a carga maliciosa usando o comando PsExec.exe -d
\\VICTIM_MACHINE -u "DOMÍNIO\ADMIN"" -p "Senha" -s cmd /cc:\windows\temp\payload.exe.
Ataques de ransomware Rhysida desde maio de 2023
O ransomware Rhysida foi descoberto em maio de 2023 e desde então tem sido responsabilizado por vários ataques eficazes, como o ataque contra o exército chileno. Nos Estados Unidos da América (EUA), está supostamente por trás de um ataque contra a Prospect Medical Holdings, afetando 17 hospitais e 166 clínicas. O Departamento de Saúde e Serviços Humanos dos EUA posteriormente declarou o ransomware Rhysida uma “ameaça significativa” aos cuidados de saúde.
Mais em CheckPoint.com
Sobre o ponto de verificação A Check Point Software Technologies GmbH (www.checkpoint.com/de) é um fornecedor líder de soluções de segurança cibernética para administrações públicas e empresas em todo o mundo. As soluções protegem os clientes contra ataques cibernéticos com uma taxa de detecção líder do setor de malware, ransomware e outros tipos de ataques. A Check Point oferece uma arquitetura de segurança multicamada que protege as informações corporativas em nuvem, rede e dispositivos móveis, e o sistema de gerenciamento de segurança "um ponto de controle" mais abrangente e intuitivo. A Check Point protege mais de 100.000 empresas de todos os portes.