A ISH Tecnologia emitiu um relatório de pesquisas a fim de alertar sobre as perigosas operações do Ransomware Rhysida e reforçar a importância das práticas de proteção digital. A companhia revela que o grupo cibercriminoso, caracterizado pelos ataques a base de criptografia de dados e extorsão, possui técnicas sofisticadas de invasão e mira diversos setores, em vários países.
Recentemente, a ISH também chamou a atenção para as atividades de um grupo conhecido como Medusa Ransomware, que se utiliza de táticas muito semelhantes à do agente malicioso, o que ajuda a ilustrar o desenvolvimento exponencial das ameaças cibernéticas.
O Ransomware Rhysida é um malware que criptografa dados das vítimas e exige uma compensação financeira, como forma de resgate, para liberar os arquivos sensíveis. Como alvos principais o grupo cibercriminoso tem os setores de saúde, educação e serviços públicos. O agente malicioso costuma agir por meio de operações de phishing, que exploram vulnerabilidades conhecidas em sistemas desatualizados.
Uma vez dentro do sistema, o agente malicioso criptografa arquivos críticos e deixa uma nota de resgate com instruções para pagamento em criptomoedas. A elevada capacidade de exfiltração de dados é o que mais chama a atenção a respeito dos ataques do grupo. Como forma de pressionar e chantagear suas vítimas, o Rhysida ameaça publicar as informações roubadas em caso de não pagamento. Já os resgates pagos são divididos entre a própria organização e os afiliados.
A equipe de Inteligência de Ameaças da ISH Tecnologia destacou os eventos mais recentes que envolvem a participação do Ransomware Rhysida. Entre eles se destacam acontecimentos como ataque a um exército da América do Sul; ataque contra uma operadora de hospitais e centros médicos da América do Norte; ataque a uma grande desenvolvedora de games; ataque a uma biblioteca britânica.
Diante desse cenário de ameaças constantes ao redor do mundo, em novembro de 2023, o Governo Brasileiro emitiu um alerta para a proteção contra o Ransomware Rhysida. A instituição, por meio do Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov), comunicou e reforçou a importância da cibersegurança devido às operações desse agente malicioso e dos demais grupos cibercriminosos que miram o país.
Segundo estudos da ISH Tecnologia, o Brasil ocupa a 11ª posição na lista de alvos do Ransomware Rhysida. Ainda de acordo com a empresa de cibersegurança, três das organizações vítimas do malware estão localizadas no país.
Em um contexto global, os setores de educação, saúde e manufatura são os mais visados pelo Rhysida ransomware. Entretanto, âmbitos importantes como governo, finanças e administração pública também estão na mira do grupo cibercriminoso.
Métodos de ataque e vulnerabilidades exploradas
O time de estudos da companhia nacional também revelou os principais métodos de infecção utilizados pelos atores de ameaça e detalhou seu modo de disseminação. De acordo com os pesquisadores da ISH Tecnologia, essas técnicas mal-intencionadas baseiam-se em:
Phishing: e-mails de phishing que contém anexos maliciosos ou links que direcionam para downloads de malware são comuns.
Exploração de vulnerabilidades: Exploração de vulnerabilidades conhecidas em softwares desatualizados ou mal configurados.
RDP (Remote Desktop Protocol): Acesso não autorizado por RDP, frequentemente devido a credenciais fracas ou reutilizadas.
VPN (Virtual Network Private): Os atores do Rhysida têm sido comumente observados autenticando em pontos de acesso VPN internos com credenciais válidas comprometidas, principalmente devido a organizações sem MFA habilitado por padrão.
Living off the Land: As técnicas de living off the land incluem o uso de ferramentas de administração de rede nativas (integradas ao sistema operacional) para executar operações. Isso permite que os atores evitem a detecção ao se misturarem com sistemas Windows normais e atividades de rede. Ipconfig, whoami, nltest e vários comandos net foram usados para enumerar ambientes de vítimas e coletar informações sobre domínios.
Uma das principais vulnerabilidades exploradas pelo Rhysida, segundo uma análise realizada pelo CISA, é a CVE-2020-1472, também conhecida como Zerologon. Essa falha permite que um invasor sem autenticação obtenha acesso administrativo a um controlador de domínio (DC) utilizando o protocolo Netlogon. O erro está presente nas versões do Windows Server que atuam como controladores de domínio.
Além disso, essa vulnerabilidade pode gerar diversos impactos negativos como: Acesso administrativo completo, movimentação lateral, destruição de arquivos, roubo de dados e implementação de malwares.
Execução
A partir de uma investigação, foi descoberto que os atores do Rhysida criam duas pastas na unidade C:\ rotuladas in e out, que servem como um diretório de preparação (localização central) para hospedar executáveis maliciosos. A pasta in contém nomes de arquivos de acordo com as identificações de host na rede da vítima, provavelmente importados por meio de uma ferramenta de varredura. Já a pasta out possui vários arquivos. Além disso, cibercriminosos também implantam ferramentas e scripts para auxiliar na criptografia do sistema e de toda a rede.
O ransomware Rhysida utiliza um Windows Portable Executable (PE) de 64 bits ou formato de arquivo de objeto comum (COFF) compilado usando MinGW por meio do GNU Compiler Collection (GCC), que oferece suporte a várias linguagens de programação, como C, C++ e Go. O aplicativo de ransomware criptográfico primeiro injeta o PE em processos em execução no sistema comprometido.
Para a realização da criptografia, eles mapeiam a rede e adotam uma chave RSA de 4096 bits a fim de criptografar arquivos sensíveis e realizar a extorsão desses dados. Após esse processo, com as informações e conteúdos confidenciais em mãos, os atores de ameaça realizam uma “dupla extorsão”.
Eles exigem um pagamento de resgate para descriptografar os dados do usuário e ameaçam publicar os dados confidenciais exfiltrados em seu blog de vítimas, a menos que o resgate seja pago. Os atores do Rhysida direcionam as vítimas a enviar pagamentos de resgate em forma de Bitcoin.
Mitigação
Com o objetivo de propagar a importância da cibersegurança para a comunidade digital, a ISH Tecnologia elenca recomendações a fim de combater atores de ameaça com o Ransomware Rhysida: aplicação de patches e atualizações; autenticação multifator (MFA); segmentação de rede e controles de acesso; educação e conscientização de usuários; e backups e recuperação de dados.
