Grupo ganha destaque com criptografia de dados e extorsão, alerta ISH

Companhia detalha métodos de ataque e estratégias de invasão do Ransomware Rhysida, que já fez ofensivas contra o governo brasileiro

Author Photo
8:50 am - 19 de agosto de 2024
Imagem: Shutterstock

A brasileira ISH Tecnologia lançou um relatório de pesquisas sobre operações do Ransomware Rhysida. O grupo cibercriminoso, conhecido por ataques a base de criptografia de dados e extorsão, possui técnicas sofisticadas de invasão e mira diversos setores, em vários países, inclusive o Brasil.

O Rhysida é um malware que criptografa dados das vítimas e exige compensação financeira como forma de resgate. Como alvos principais o grupo tem organizações dos setores de saúde, educação e serviços públicos. O agente malicioso costuma agir por meio de operações de phishing, que exploram vulnerabilidades de sistemas desatualizados.

Como forma de pressionar e chantagear vítimas, o Rhysida ameaça publicar informações roubadas em caso de não pagamento. Já os resgates pagos são divididos entre a própria organização e os afiliados.

Leia também: Transpetro usa IA para aumentar eficiência e reduzir emissões

Entre os eventos mais recentes que envolvem a participação do Rhysida estão um ataque a um exército da América do Sul, contra uma operadora de hospitais e centros médicos da América do Norte e contra uma grande desenvolvedora de games.

Em novembro de 2023, o governo brasileiro emitiu alerta para proteção contra o Ransomware Rhysida. A instituição, por meio do Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov), reforçou o perigo das representado por esse agente malicioso e demais grupos cibercriminosos que miram o País.

Métodos de ataque para criptografia de dados

O time de estudos da ISH também revelou os principais métodos de infecção utilizados pelos atores de ameaça. De acordo com os pesquisadores da empresa, essas técnicas mal-intencionadas baseiam-se em:

  • Phishing: e-mails que contém anexos maliciosos ou links que direcionam para downloads de malware são comuns;
  • Exploração de vulnerabilidades conhecidas em softwares desatualizados ou mal configurados;
  • RDP (Remote Desktop Protocol): frequentemente devido a credenciais fracas ou reutilizadas.
  • VPN (Virtual Network Private): Os atores do Rhysida têm sido comumente observados autenticando em pontos de acesso VPN internos com credenciais válidas comprometidas, principalmente devido a organizações sem MFA habilitado por padrão.
  • Living off the Land: incluem o uso de ferramentas de administração de rede nativas (integradas ao sistema operacional) para executar operações. Isso permite que os atores evitem a detecção ao se misturarem com sistemas Windows normais e atividades de rede. Ipconfig, whoami, nltest e vários comandos net foram usados para enumerar ambientes de vítimas e coletar informações sobre domínios.

Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!

Author Photo
Redação

A redação contempla textos de caráter informativo produzidos pela equipe de jornalistas do IT Forum.

Author Photo

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.