A CISA e o FBI emitiram um alerta sobre os ataques do ransomware Rhysida, que tem como alvo organizações de diversos setores.

Rhysida opera como um modelo de ransomware como serviço (RaaS), comprometendo organizações nos setores de educação, manufatura, tecnologia da informação e governo. Os pagamentos de resgate são divididos entre o grupo e seus afiliados.

Os atores do Rhysida exploram serviços remotos voltados para o exterior, como redes privadas virtuais (VPNs), a vulnerabilidade Zerologon (CVE-2020-1472) e campanhas de phishing para obter acesso inicial e persistência dentro de uma rede.

Detectado pela primeira vez em maio de 2023, o Rhysida utiliza a tática de dupla extorsão, exigindo pagamento para descriptografar dados da vítima e ameaçando publicar os dados exfiltrados, a menos que o resgate seja pago.

Há sobreposições entre o Rhysida e outro grupo de ransomware conhecido como Vice Society, devido a padrões de ataque semelhantes e ao uso de NTDSUtil e PortStarter, este último exclusivo do Vice Society.

Em outubro de 2023, o Rhysida reivindicou cinco vítimas, ficando atrás de outros grupos como LockBit, NoEscape, PLAY, ALPHV/BlackCat e 8BASE. Os ataques do Rhysida são descritos como oportunistas, aproveitando técnicas de living-off-the-land (LotL) para movimentação lateral e estabelecimento de acesso VPN, misturando-se às atividades legítimas dos sistemas e redes Windows para evitar detecção.

A natureza em constante evolução do cenário de ransomware é evidenciada pelo fato de que 29 dos 60 grupos de ransomware atualmente ativos iniciaram operações este ano, impulsionados em parte pelos vazamentos de código-fonte de Babuk, Conti e LockBit ao longo dos anos.