A comunidade de segurança cibernética está em alerta máximo enquanto os EUA. Agência de Segurança Cibernética e Infraestrutura (CISA), o Departamento Federal de Investigação (FBI), e o Centro Multiestadual de Compartilhamento e Análise de Informações (MS-ISAC) emitir em conjunto um comunicado sobre a crescente ameaça representada pelo ransomware Rhysida.
Operando sob um ransomware-as-a-service (Raas) modelo, Os atores da Rhysida exibiram um padrão de ataques oportunistas direcionados a organizações de diversos setores, incluindo educação, fabrico, tecnologia da informação, e governo. Os pagamentos de resgate coletados são compartilhados entre o grupo e suas afiliadas, criando uma tendência preocupante no cenário da segurança cibernética.
Táticas e evolução do ataque do ransomware Rhysida
Rhysida, detectado pela primeira vez em maio 2023, emprega uma tática de ransomware conhecida como extorsão dupla. Isso envolve exigir um resgate pela descriptografia dos dados da vítima e ameaçar publicar os dados exfiltrados se o pagamento não for feito. Os atores da ameaça exploram serviços remotos externos, como redes privadas virtuais e a vulnerabilidade Zerologon (CVE-2020-1472), assim como phishing campanhas para acesso inicial e persistência dentro de uma rede. O grupo está vinculado à Vice Society, compartilhando padrões de segmentação e utilizando ferramentas como NTDSUtil e PortStarter, anteriormente exclusivo deste último.
De acordo com pesquisadores, Rhysida fez cinco vítimas em outubro 2023, posicionando-se no cenário do ransomware ao lado de contrapartes formidáveis como LockBit e NoEscape. Notavelmente, a mudança do grupo de Vice Society para Rhysida foi rastreada, com a transição observada em junho 2023. A mudança levanta questões sobre a evolução das estratégias dos operadores de ransomware em resposta à evolução das defesas de segurança cibernética.
Uma pesquisa recente da Sophos esclarece a natureza interconectada dos grupos de ransomware. Vice-Sociedade, que aparentemente ficou inativo desde julho 2023, coincidiu com o surgimento de Rhysida. O cenário em constante mudança é ainda mais destacado pela gangue de ransomware BlackCat, usando anúncios do Google para fornecer malware Nitrogen. Esta abordagem dinâmica sublinha a adaptação e inovação contínuas no ecossistema do ransomware.
Conclusão
A ascensão da Rhysida e a sua associação com a Vice Society sublinha a urgência das organizações reforçarem as suas medidas de segurança cibernética. Com o cenário de ameaças em constante evolução, a colaboração entre agências de segurança e a vigilância contínua dentro da comunidade de segurança cibernética são fundamentais para impedir ameaças emergentes de ransomware. À medida que o ano se desenrola, a dinâmica do cenário do ransomware continua a mudar, enfatizando a necessidade crítica de defesas robustas contra esses adversários cibernéticos em constante adaptação.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: