Rhysida: l'evoluzione del ransomware e la nuova minaccia

Il gruppo Rhysida è emerso nel panorama cybercrime a maggio 2023, attirando rapidamente l’attenzione di tutta la community.

Questo gruppo si è distintamente posizionato nel settore del crimine informatico, concentrando gli attacchi in particolare sui settori dell’istruzione, della sanità, della produzione industriale, della tecnologia dell’informazione e del governo. Una caratteristica unica di Rhysida è la loro presentazione come un “team di cybersecurity”, sostenendo ironicamente di fare un “favore” alle loro vittime evidenziando le lacune di sicurezza nei loro sistemi. Hanno persino istituito un portale di supporto per le vittime ospitato su TOR, rafforzando ulteriormente questa narrazione bizzarra.

Tecniche e metodi di attacco di Rhysida cybergang

Il gruppo Rhysida impiega una varietà di tecniche sofisticate per infiltrarsi e persistere nelle reti informatiche delle vittime.
Ad esempio, utilizzano servizi remoti esterni, come VPN, per accedere alle reti aziendali, spesso sfruttando credenziali RDP valide ma precedentemente compromesse.
Questo approccio agli attacchi risulta particolarmente efficiente poiché molto spesso mancano sistemi di autenticazione a più fattori (MFA) a tutela degli accessi degli utenti di aziende. Il risultato è che per questi gruppi l’accesso alle informazioni è estremamente semplificato. Hanno anche sfruttato vulnerabilità critiche come Zerologon, oltre a condurre tentativi di phishing mirati per guadagnare l’accesso iniziale.

Una volta all’interno, Rhysida utilizza tecniche di “living off the land”, cioè sfruttano strumenti nativi di amministrazione della rete, come Remote Desktop Protocol (RDP) e PowerShell, per il movimento laterale e la raccolta di informazioni. Questa strategia permette loro di mimetizzarsi con le normali attività di sistema e di rete, eludendo la rilevazione. Inoltre, Rhysida si avvale di strumenti legittimi, disponibili pubblicamente, per le loro operazioni, rendendo difficile attribuire direttamente queste attività come malevole senza ulteriori prove.

Per la distribuzione del ransomware, il gruppo utilizza Cobalt Strike o per l’appunto conduce campagne di phishing, sfruttando ancora una volta tecniche di ingegneria sociale per ingannare le vittime e diffondere il malware.

Caratteristiche specifiche della ransomware gang Rhysida

Il ransomware Rhysida si distingue per alcune caratteristiche specifiche nel suo metodo di attacco.
Una volta infiltrato nella rete della vittima, Rhysida crea cartelle di staging sul drive C: per ospitare file eseguibili malevoli.
Utilizza una potente combinazione di crittografia RSA a 4096 bit e l’algoritmo ChaCha20 per criptare i dati. Questo processo di crittografia è accuratamente eseguito e i file crittografati vengono modificati per mostrare l’estensione .rhysida.

Inoltre, Rhysida è noto per praticare la doppia estorsione, che include la richiesta di un riscatto per decriptare i dati della vittima e minacce di pubblicare dati sensibili esfiltrati se il riscatto non viene pagato. Questo approccio è particolarmente dannoso perché aumenta la pressione sulle vittime per pagare il riscatto.
Le note di riscatto vengono redatte in formato PDF e depositate nelle cartelle interessate sui drive colpiti, con istruzioni per contattare gli aggressori tramite un portale basato su Tor e pagare il riscatto in Bitcoin.

Somiglianze con altri gruppi ransomware

Il gruppo Rhysida mostra somiglianze notevoli con altri gruppi ransomware noti, in particolare con Vice Society.
Questa somiglianza non solo riflette le tecniche comuni utilizzate, ma evidenzia anche una tendenza più ampia nel mondo del crimine informatico: il riutilizzo di codici e componenti di malware esistenti.

Questo approccio di “riciclaggio” consente ai gruppi come Rhysida di sviluppare rapidamente le proprie varianti di ransomware, appoggiandosi alla conoscenza di tecniche di attacco che hanno già dimostrato la loro efficacia nel tempo. Secondo gli esperti di sicurezza, c’è stata un’enorme crescita nel settore del ransomware e dell’estorsione, potenzialmente legata alla disponibilità di builder trapelati e codici sorgente di vari cartelli di ransomware.

In questo contesto, Rhysida rappresenta un esempio di come questi gruppi possano evolversi rapidamente, adottando e adattando strategie e strumenti esistenti per le loro operazioni

Autore articolo
Gli ultimi articoli

Arianna Rigoni

Responsabile Marketing per due aziende leader nel settore della Sicurezza Informatica: organizzo e progetto iniziative di diffusione della cultura cybersecurity e dei rischi cyber-crime attraverso contenuti web, eventi on e off line e materiale info-grafico. Ho una naturale propensione per far coesistere il lato metodico e preciso del mio carattere con la parte più creativa, visionaria e ambiziosa di me. Sono curiosa, riflessiva e non metto freni alla mia fame di conoscenza.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.