Um novo grupo de ransomware conhecido como ‘Rhysida’ está em operação desde maio de 2023, representando um enorme perigo para o setor de saúde.
A gangue de ransomware Rhysida está ligada a vários ataques significativos, incluindo um ataque ao exército chileno.
Recentemente, a organização também foi implicada num ataque à Prospect Medical Holdings que teve impacto em 166 clínicas e 17 hospitais em todo o país.
“Esta ameaça é entregue através de uma variedade de mecanismos que podem incluir phishing e ser descartada como cargas secundárias de estruturas de comando e controle (C2) como Cobalt Strike”, Cisco Talos.
“Essas estruturas são comumente entregues como parte de malware de commodity tradicional, portanto as cadeias de infecção podem variar amplamente”.
Equipe de Resposta a Incidentes da Check Point (CPIRT) relatório diz descobriu-se que esse ransomware tem muito em comum com os TTPs da Vice Society, outro grupo de ransomware. Desde 2021, a Vice Society tem sido uma das gangues de ransomware mais ativas e agressivas, concentrando-se principalmente nos setores de saúde e educação.
Os dois grupos se concentraram nos setores de educação e saúde, que são distintos no ecossistema de ransomware.
A pesquisa concentrou-se nos TTPs que levaram à sua implantação, especificamente Movimento Lateral, Acesso a Credenciais, Evasão de Defesa, Comando e Controle e Impacto.
Para conduzir o movimento lateral, os atacantes empregaram uma série de técnicas, incluindo:
- Protocolo de área de trabalho remota (RDP) – Durante a intrusão, o autor da ameaça iniciou conexões RDP e tomou medidas adicionais para apagar logs e itens de registro relacionados para fortalecer as tentativas de detecção e análise (conforme mencionado na seção Evasão de Defesa).
- Sessões remotas do PowerShell (WinRM) – O agente da ameaça foi detectado iniciando conexões remotas do PowerShell com sistemas dentro do ambiente enquanto se conectava remotamente por meio de RDP.
- PsExec – A carga útil do ransomware foi distribuída de um servidor dentro do ambiente usando PsExec.
Notavelmente, para acessar credenciais, o agente da ameaça utilizou ntdsutil.exe para criar um backup de NTDS.dit na pasta temp_l0gs.
Os pesquisadores afirmam que esse caminho foi utilizado diversas vezes pelo ator. Além disso, o agente da ameaça identificou contas de Administrador de Domínio e tentou fazer login usando algumas delas.
Para persistência, os agentes de ameaças usaram uma variedade de backdoors e tecnologias, incluindo SystemBC e AnyDesk.
Os atores da ameaça excluíram logs e artefatos forenses regularmente, incluindo a exclusão do histórico de arquivos e diretórios usados recentemente, a lista de programas executados recentemente, o histórico de caminho recente no File Explorer, o arquivo de histórico do console do PowerShell e todos os arquivos e pastas no usuário atual. pasta temporária.
Embrulhar
Houve um desenvolvimento significativo no mercado de ransomware e extorsão, o que pode ser atribuído ao número de construtores vazados e códigos-fonte associados a vários cartéis de ransomware.
O Departamento de Saúde e Serviços Humanos dos EUA (HHS) alertou especificamente o setor de saúde sobre as atividades do ransomware Rhysida.
Mantenha-se informado sobre as últimas notícias sobre segurança cibernética seguindo-nos no Notícias do Google, Linkedin, Twittere Facebook.