Grupo ganha destaque com criptografia de dados e extorsão, alerta ISH
Companhia detalha métodos de ataque e estratégias de invasão do Ransomware Rhysida, que já fez ofensivas contra o governo brasileiro
A brasileira ISH Tecnologia lançou um relatório de pesquisas sobre operações do Ransomware Rhysida. O grupo cibercriminoso, conhecido por ataques a base de criptografia de dados e extorsão, possui técnicas sofisticadas de invasão e mira diversos setores, em vários países, inclusive o Brasil.
O Rhysida é um malware que criptografa dados das vítimas e exige compensação financeira como forma de resgate. Como alvos principais o grupo tem organizações dos setores de saúde, educação e serviços públicos. O agente malicioso costuma agir por meio de operações de phishing, que exploram vulnerabilidades de sistemas desatualizados.
Como forma de pressionar e chantagear vítimas, o Rhysida ameaça publicar informações roubadas em caso de não pagamento. Já os resgates pagos são divididos entre a própria organização e os afiliados.
Leia também: Transpetro usa IA para aumentar eficiência e reduzir emissões
Entre os eventos mais recentes que envolvem a participação do Rhysida estão um ataque a um exército da América do Sul, contra uma operadora de hospitais e centros médicos da América do Norte e contra uma grande desenvolvedora de games.
Em novembro de 2023, o governo brasileiro emitiu alerta para proteção contra o Ransomware Rhysida. A instituição, por meio do Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov), reforçou o perigo das representado por esse agente malicioso e demais grupos cibercriminosos que miram o País.
Métodos de ataque para criptografia de dados
O time de estudos da ISH também revelou os principais métodos de infecção utilizados pelos atores de ameaça. De acordo com os pesquisadores da empresa, essas técnicas mal-intencionadas baseiam-se em:
- Phishing: e-mails que contém anexos maliciosos ou links que direcionam para downloads de malware são comuns;
- Exploração de vulnerabilidades conhecidas em softwares desatualizados ou mal configurados;
- RDP (Remote Desktop Protocol): frequentemente devido a credenciais fracas ou reutilizadas.
- VPN (Virtual Network Private): Os atores do Rhysida têm sido comumente observados autenticando em pontos de acesso VPN internos com credenciais válidas comprometidas, principalmente devido a organizações sem MFA habilitado por padrão.
- Living off the Land: incluem o uso de ferramentas de administração de rede nativas (integradas ao sistema operacional) para executar operações. Isso permite que os atores evitem a detecção ao se misturarem com sistemas Windows normais e atividades de rede. Ipconfig, whoami, nltest e vários comandos net foram usados para enumerar ambientes de vítimas e coletar informações sobre domínios.
Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!