La comunità della sicurezza informatica è in massima allerta come gli Stati Uniti. Agenzia per la sicurezza informatica e delle infrastrutture (CISA), il Federal Bureau of Investigation (FBI), e il Centro multistato per la condivisione e l'analisi delle informazioni (MS-ISAC) pubblicano congiuntamente un avviso sulla crescente minaccia rappresentata dal ransomware Rhysida.
Operando sotto a ransomware-as-a-service (RAAS) modello, Gli attori di Rhysida hanno mostrato uno schema di attacchi opportunistici contro organizzazioni di diversi settori, compresa l'istruzione, produzione, tecnologia dell'informazione, e governo. I pagamenti del riscatto raccolti vengono condivisi tra il gruppo e i suoi affiliati, creando una tendenza preoccupante nel panorama della sicurezza informatica.
Rhysida ransomware Tattiche di attacco ed evoluzione
Rhysida, rilevato per la prima volta a maggio 2023, impiega una tattica ransomware nota come doppia estorsione. Ciò comporta la richiesta di un riscatto per la decriptazione dei dati delle vittime e la minaccia di pubblicare i dati sottratti se non viene effettuato il pagamento. Gli autori delle minacce sfruttano servizi remoti rivolti all'esterno, come le reti private virtuali e la vulnerabilità Zerologon (CVE-2020-1472), così come campagne di phishing per l'accesso iniziale e la persistenza all'interno di una rete. Il gruppo è stato collegato alla Vice Society, condividendo modelli di targeting e utilizzando strumenti come NTDSUtil e PortStarter, precedentemente esclusivo di quest'ultimo.
Secondo i ricercatori, Rhysida ha fatto cinque vittime in ottobre 2023, posizionandosi nel panorama dei ransomware insieme a formidabili controparti come LockBit e NoEscape. In particolare, il passaggio del gruppo da Vice Society a Rhysida è stato monitorato, con la transizione osservata a giugno 2023. Questo cambiamento solleva interrogativi sull’evoluzione delle strategie degli operatori di ransomware in risposta all’evoluzione delle difese della sicurezza informatica.
Una recente ricerca di Sophos fa luce sulla natura interconnessa dei gruppi di ransomware. Vicesocietà, che apparentemente è rimasto inattivo da luglio 2023, coincise con l'emergere di Rhysida. Il panorama in continua evoluzione è ulteriormente evidenziato dalla banda di ransomware BlackCat, utilizzando gli annunci Google per diffondere il malware Nitrogen. Questo approccio dinamico sottolinea il continuo adattamento e innovazione all’interno dell’ecosistema ransomware.
Conclusione
L’ascesa di Rhysida e la sua associazione con Vice Society sottolinea l’urgenza per le organizzazioni di rafforzare le proprie misure di sicurezza informatica. Con il panorama delle minacce in continua evoluzione, la collaborazione tra le agenzie di sicurezza e la vigilanza continua all’interno della comunità della sicurezza informatica sono fondamentali per contrastare le minacce ransomware emergenti. Mentre l'anno si svolge, le dinamiche del panorama dei ransomware continuano a cambiare, sottolineando la necessità fondamentale di difese robuste contro questi avversari informatici in continuo adattamento.