¿Está su organización a salvo de los ataques del ransomware Rhysida?

El origen de Rhysida

El ransomware Rhysida se observó por primera vez en mayo de 2023 y se ha establecido rápidamente como un destacado grupo de ransomware como servicio (RaaS). Conocido por dirigirse a sectores críticos, Rhysida ha estado vinculado a ataques contra importantes instituciones como el Ejército de Chile y Prospect Medical Holdings, que afectó a 17 hospitales y 166 clínicas en EE.UU. El grupo se presenta como un "equipo de ciberseguridad" mientras se dedica a la doble extorsión: cifrar datos y amenazar con filtrarlos públicamente a menos que se pague un rescate. Cada vez hay más vínculos entre Rhysida y el grupo de ransomware Vice Society, ya que se han observado similitudes técnicas y operativas.

Su nombre, "Rhysida", deriva de un tipo de ciempiés, que simboliza su enfoque sigiloso y multipata de los ciberataques.

Objetivos

Objetivos de Rhysida

Países objetivo de Rhysida

Activa principalmente en Norteamérica, Europa y Australia, Rhysida ha atacado a organizaciones de países como Estados Unidos, Italia, España y Reino Unido. Sus ataques se han extendido a diversos sectores, lo que refleja su alcance mundial.

^{Fuente de la imagen:}^SOCradar

Industrias a las que se dirige Rhysida

Rhysida ataca principalmente a los sectores educativo, sanitario, gubernamental y manufacturero, aprovechando las vulnerabilidades de instituciones críticas. Estos ataques han provocado a menudo interrupciones operativas e importantes pérdidas financieras y de datos.

^{Fuente de la imagen:}^{Trend Micro}

Industrias a las que se dirige Rhysida

Rhysida ataca principalmente a los sectores educativo, sanitario, gubernamental y manufacturero, aprovechando las vulnerabilidades de instituciones críticas. Estos ataques han provocado a menudo interrupciones operativas e importantes pérdidas financieras y de datos.

^{Fuente de la imagen:}^{Trend Micro}

Víctimas de Rhysida

Además de atacar al ejército chileno, Rhysida ha atacado el sector sanitario, incluido un ataque a Prospect Medical Holdings. Además, es responsable de la violación de varias instituciones educativas, incluidos incidentes que afectaron a la Universidad de West Scotland.

^{Fuente de la imagen:}^{Trend Micro}

Método de ataque

Método de ataque de Rhysida

Una figura sombría tiende una amplia red sobre un paisaje digital repleto de diversos dispositivos, como ordenadores, teléfonos inteligentes y tabletas. La red simboliza los intentos del atacante de encontrar vulnerabilidades o utilizar técnicas de phishing para obtener acceso no autorizado.

Los actores de Rhysida obtienen acceso a través de credenciales comprometidas o phishing, utilizando servicios externos como VPN sin autenticación multifactor (MFA). También se han utilizado exploits como la vulnerabilidad Zerologon (CVE-2020-1472).

Una escalera digital que se extiende hacia arriba desde un icono de usuario básico hacia una corona que simboliza privilegios administrativos. Esto representa los esfuerzos del atacante para obtener acceso de nivel superior dentro del sistema.

Los atacantes escalan privilegios utilizando herramientas como ntdsutil.exe para extraer credenciales de dominio. Se ha observado que se dirigen a la base de datos NTDS para realizar cambios de contraseña en todo el dominio.

Un camaleón que se funde con un fondo digital, con ceros y unos fluyendo a su alrededor. Representa la capacidad del atacante para evitar ser detectado por las medidas de seguridad, cambiando de táctica para mezclarse con el tráfico normal de la red.

Rhysida utiliza con frecuencia PowerShell y PsExec para borrar registros de eventos y eliminar artefactos forenses, como archivos y carpetas a los que se ha accedido recientemente, registros RDP e historial de PowerShell.

Un ladrón con una ganzúa trabajando en un ojo de cerradura gigante con forma de formulario de inicio de sesión, que representa los esfuerzos del atacante por robar credenciales de usuario para obtener acceso no autorizado.

El grupo emplea herramientas de vertido de credenciales como secretsdump para extraer credenciales de los sistemas comprometidos. Estas credenciales permiten a los atacantes escalar privilegios y ampliar su control dentro de la red.

Una lupa moviéndose sobre un mapa digital de una red, resaltando archivos, carpetas y conexiones de red. Esta imagen representa la fase en la que los atacantes exploran el entorno para comprender la estructura y dónde residen los datos valiosos.

Los operadores de Rhysida utilizan herramientas nativas como ipconfig, whoamiy red comandos para llevar a cabo el reconocimiento en el entorno de la víctima.

Una serie de nodos interconectados con una figura sombría moviéndose sigilosamente entre ellos. Esto ilustra los movimientos del atacante dentro de la red, buscando obtener el control de sistemas adicionales o propagarse malware.

Los servicios remotos como RDP y SSH a través de PuTTY se utilizan para el movimiento lateral. PsExec se utiliza con frecuencia para la distribución final de la carga útil del ransomware.

Una gran aspiradora aspira archivos, iconos de datos y carpetas en una bolsa sostenida por una figura sombría. Esta imagen simboliza el proceso de recopilación de datos valiosos de la red objetivo.

Antes de ejecutar la carga útil del ransomware, los atacantes recopilan datos críticos, preparándolos para su cifrado o exfiltración como parte de su doble estrategia de extorsión.

Una ventana de símbolo del sistema abierta delante de un fondo digital, con código malicioso siendo tecleado. Esto representa la fase en la que los atacantes ejecutan su carga maliciosa en el sistema comprometido.

La carga útil de Rhysida se despliega mediante PsExec, y los datos se cifran con algoritmos RSA y ChaCha20 de 4096 bits. El sitio .rhysida a todos los archivos encriptados.

Una serie de archivos que se canalizan a través de un canal encubierto desde un ordenador a una dirección cloud etiquetada con una calavera, que simboliza la transferencia no autorizada de datos a un lugar controlado por el atacante.

El grupo recurre a la doble extorsión, exfiltrando datos sensibles para amenazar con hacerlos públicos si no se pagan los rescates.

Una pantalla agrietada con un paisaje urbano digital en caos detrás, que simboliza el impacto destructivo del ciberataque, como la interrupción del servicio, la destrucción de datos o las pérdidas financieras.

Las operaciones de Rhysida suelen culminar con graves interrupciones, cifrado de datos y exigencias de pagos en Bitcoin, a menudo millonarios.

Acceso inicial

Los actores de Rhysida obtienen acceso a través de credenciales comprometidas o phishing, utilizando servicios externos como VPN sin autenticación multifactor (MFA). También se han utilizado exploits como la vulnerabilidad Zerologon (CVE-2020-1472).

Escalada de privilegios

Los atacantes escalan privilegios utilizando herramientas como ntdsutil.exe para extraer credenciales de dominio. Se ha observado que se dirigen a la base de datos NTDS para realizar cambios de contraseña en todo el dominio.

Defensa Evasión

Rhysida utiliza con frecuencia PowerShell y PsExec para borrar registros de eventos y eliminar artefactos forenses, como archivos y carpetas a los que se ha accedido recientemente, registros RDP e historial de PowerShell.

Acceso con credenciales

El grupo emplea herramientas de vertido de credenciales como secretsdump para extraer credenciales de los sistemas comprometidos. Estas credenciales permiten a los atacantes escalar privilegios y ampliar su control dentro de la red.

Descubrimiento

Los operadores de Rhysida utilizan herramientas nativas como ipconfig, whoamiy red comandos para llevar a cabo el reconocimiento en el entorno de la víctima.

Movimiento lateral

Los servicios remotos como RDP y SSH a través de PuTTY se utilizan para el movimiento lateral. PsExec se utiliza con frecuencia para la distribución final de la carga útil del ransomware.

Colección

Antes de ejecutar la carga útil del ransomware, los atacantes recopilan datos críticos, preparándolos para su cifrado o exfiltración como parte de su doble estrategia de extorsión.

Ejecución

La carga útil de Rhysida se despliega mediante PsExec, y los datos se cifran con algoritmos RSA y ChaCha20 de 4096 bits. El sitio .rhysida a todos los archivos encriptados.

Exfiltración

El grupo recurre a la doble extorsión, exfiltrando datos sensibles para amenazar con hacerlos públicos si no se pagan los rescates.

Impacto

Las operaciones de Rhysida suelen culminar con graves interrupciones, cifrado de datos y exigencias de pagos en Bitcoin, a menudo millonarios.

MITRE ATT&CK Cartografía

TTPs utilizados por Rhysida

TA0001: Initial Access

T1566

Phishing

T1190

Exploit Public-Facing Application

TA0002: Execution

T1059

Command and Scripting Interpreter

TA0003: Persistence

No items found.

TA0004: Privilege Escalation

No items found.

TA0005: Defense Evasion

T1070

Indicator Removal

TA0006: Credential Access

T1528

Steal Application Access Token

T1003

OS Credential Dumping

TA0007: Discovery

No items found.

TA0008: Lateral Movement

T1021

Remote Services

TA0009: Collection

No items found.

TA0011: Command and Control

No items found.

TA0010: Exfiltration

No items found.

TA0040: Impact

T1657

Financial Theft

Detección de plataformas

Cómo detectar la Rhysida con Vectra AI

Lista de las detecciones disponibles en la plataforma Vectra AI que indicarían un ataque de ransomware.

M365 Suspicious Power Automate Flow Creation

Ransomware File Activity

SQL Injection Activity

Suspicious Admin

Suspicious Remote Desktop Protocol

Suspicious Remote Execution

Ver más detecciones

Evalúe su exposición a los ataques

Preguntas frecuentes

¿Qué es el ransomware Rhysida?

Rhysida es un grupo de ransomware como servicio que utiliza la doble extorsión para cifrar y exfiltrar datos, dirigido a sectores como la sanidad y la educación.

¿Cuándo surgió Rhysida?

El grupo fue observado por primera vez en mayo de 2023.

¿A qué sectores se dirige Rhysida?

Se centra principalmente en los sectores de la educación, la sanidad, la industria manufacturera, la administración pública y las tecnologías de la información.

¿A qué países afecta el Rhysida?

El grupo ha sido más activo en Estados Unidos, Reino Unido, Italia y España.

¿Cómo accede Rhysida a las redes?

Los actores de Rhysida obtienen acceso a través de phishing o explotando vulnerabilidades en servicios externos, a menudo aprovechando credenciales débiles o robadas.

¿Qué métodos de cifrado utiliza Rhysida?

El grupo utiliza algoritmos de cifrado RSA y ChaCha20 de 4096 bits para bloquear los datos de las víctimas.

¿Existe algún vínculo entre Rhysida y la Sociedad del Vicio?

Existen notables similitudes entre las TTP de Rhysida y Vice Society, lo que sugiere un posible solapamiento operativo.

¿Cómo pueden protegerse las organizaciones contra la Rhysida?

Las organizaciones deben implantar la AMF, parchear las vulnerabilidades conocidas y garantizar unos sólidos sistemas de copia de seguridad y recuperación.

¿Cómo evita Rhysida ser detectada?

El grupo utiliza técnicas como borrar registros de eventos, eliminar artefactos y ocultar la actividad a través de PowerShell.

¿Qué medidas deben tomarse tras un ataque de Rhysida?

Las organizaciones deben aislar los sistemas afectados, preservar las pruebas forenses, informar del incidente a las fuerzas de seguridad y evitar pagar el rescate si es posible. También se recomienda implantar medidas de seguridad sólidas, como NDR y segmentación de la red.

¿Está su organización a salvo de los ataques del ransomware Rhysida?

Evalúe su exposición a los ataques