Grupo ganha destaque com criptografia de dados e extorsão, alerta ISH

Companhia detalha métodos de ataque e estratégias de invasão do Ransomware Rhysida, que já fez ofensivas contra o governo brasileiro

Publicado:

19/08/2024 às 08:50

Redação

Leitura

3 minutos

Imagem de um teclado de computador sendo usado por uma pessoa, com efeito de luzes em tons de rosa, roxo e azul. No centro da imagem, há um ícone de alerta em formato triangular com um ponto de exclamação, representando aviso ou risco digital, em estilo gráfico moderno com distorções visuais. (ransomware, empresa, cibersegurança, criptografia de dados, violações de dados, ransomware)

Imagem: Shutterstock

A brasileira ISH Tecnologia lançou um relatório de pesquisas sobre operações do Ransomware Rhysida. O grupo cibercriminoso, conhecido por ataques a base de criptografia de dados e extorsão, possui técnicas sofisticadas de invasão e mira diversos setores, em vários países, inclusive o Brasil.

O Rhysida é um malware que criptografa dados das vítimas e exige compensação financeira como forma de resgate. Como alvos principais o grupo tem organizações dos setores de saúde, educação e serviços públicos. O agente malicioso costuma agir por meio de operações de phishing, que exploram vulnerabilidades de sistemas desatualizados.

Como forma de pressionar e chantagear vítimas, o Rhysida ameaça publicar informações roubadas em caso de não pagamento. Já os resgates pagos são divididos entre a própria organização e os afiliados.

Entre os eventos mais recentes que envolvem a participação do Rhysida estão um ataque a um exército da América do Sul, contra uma operadora de hospitais e centros médicos da América do Norte e contra uma grande desenvolvedora de games.

Em novembro de 2023, o governo brasileiro emitiu alerta para proteção contra o Ransomware Rhysida. A instituição, por meio do Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov), reforçou o perigo das representado por esse agente malicioso e demais grupos cibercriminosos que miram o País.

Métodos de ataque para criptografia de dados

O time de estudos da ISH também revelou os principais métodos de infecção utilizados pelos atores de ameaça. De acordo com os pesquisadores da empresa, essas técnicas mal-intencionadas baseiam-se em:

Phishing: e-mails que contém anexos maliciosos ou links que direcionam para downloads de malware são comuns;
Exploração de vulnerabilidades conhecidas em softwares desatualizados ou mal configurados;
RDP (Remote Desktop Protocol): frequentemente devido a credenciais fracas ou reutilizadas.
VPN (Virtual Network Private): Os atores do Rhysida têm sido comumente observados autenticando em pontos de acesso VPN internos com credenciais válidas comprometidas, principalmente devido a organizações sem MFA habilitado por padrão.
Living off the Land: incluem o uso de ferramentas de administração de rede nativas (integradas ao sistema operacional) para executar operações. Isso permite que os atores evitem a detecção ao se misturarem com sistemas Windows normais e atividades de rede. Ipconfig, whoami, nltest e vários comandos net foram usados para enumerar ambientes de vítimas e coletar informações sobre domínios.

Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!