Grupo ganha destaque com criptografia de dados e extorsão, alerta ISH

A brasileira ISH Tecnologia lançou um relatório de pesquisas sobre operações do Ransomware Rhysida. O grupo cibercriminoso, conhecido por ataques a base de criptografia de dados e extorsão, possui técnicas sofisticadas de invasão e mira diversos setores, em vários países, inclusive o Brasil.

O Rhysida é um malware que criptografa dados das vítimas e exige compensação financeira como forma de resgate. Como alvos principais o grupo tem organizações dos setores de saúde, educação e serviços públicos. O agente malicioso costuma agir por meio de operações de phishing, que exploram vulnerabilidades de sistemas desatualizados.

Como forma de pressionar e chantagear vítimas, o Rhysida ameaça publicar informações roubadas em caso de não pagamento. Já os resgates pagos são divididos entre a própria organização e os afiliados.

Leia também: Transpetro usa IA para aumentar eficiência e reduzir emissões

Entre os eventos mais recentes que envolvem a participação do Rhysida estão um ataque a um exército da América do Sul, contra uma operadora de hospitais e centros médicos da América do Norte e contra uma grande desenvolvedora de games.

Em novembro de 2023, o governo brasileiro emitiu alerta para proteção contra o Ransomware Rhysida. A instituição, por meio do Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov), reforçou o perigo das representado por esse agente malicioso e demais grupos cibercriminosos que miram o País.

Métodos de ataque para criptografia de dados

O time de estudos da ISH também revelou os principais métodos de infecção utilizados pelos atores de ameaça. De acordo com os pesquisadores da empresa, essas técnicas mal-intencionadas baseiam-se em:

• Phishing: e-mails que contém anexos maliciosos ou links que direcionam para downloads de malware são comuns;
• Exploração de vulnerabilidades conhecidas em softwares desatualizados ou mal configurados;
• RDP (Remote Desktop Protocol): frequentemente devido a credenciais fracas ou reutilizadas.
• VPN (Virtual Network Private): Os atores do Rhysida têm sido comumente observados autenticando em pontos de acesso VPN internos com credenciais válidas comprometidas, principalmente devido a organizações sem MFA habilitado por padrão.
• Living off the Land: incluem o uso de ferramentas de administração de rede nativas (integradas ao sistema operacional) para executar operações. Isso permite que os atores evitem a detecção ao se misturarem com sistemas Windows normais e atividades de rede. Ipconfig, whoami, nltest e vários comandos net foram usados para enumerar ambientes de vítimas e coletar informações sobre domínios.

Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!