Los actores de amenazas detrás del ransomware Rhysida participan en ataques oportunistas dirigidos a organizaciones que abarcan diversos sectores industriales.
El aviso es cortesía de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), la Oficina Federal de Investigaciones (FBI) y el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC).
«Observado como un modelo de ransomware como servicio (RaaS), los actores de Rhysida han comprometido organizaciones en los sectores de educación, manufactura, tecnología de la información y gobierno, y cualquier rescate pagado se divide entre el grupo y sus afiliados», dijeron las agencias .
«Los actores de Rhysida aprovechan los servicios remotos externos, como las redes privadas virtuales (VPN), la vulnerabilidad Zerologon (CVE-2020-1472) y las campañas de phishing para obtener acceso inicial y persistencia dentro de una red».
Detectada por primera vez en mayo de 2023, Rhysida utiliza la táctica probada de la doble extorsión, exigiendo el pago de un rescate para descifrar los datos de las víctimas y amenazando con publicar los datos exfiltrados a menos que se pague el rescate.
También se dice que comparte superposiciones con otro grupo de ransomware conocido como Vice Society (también conocido como Storm-0832 o Vanilla Tempest), debido a patrones de orientación similares y al uso de NTDSUtil y PortStarter, que ha sido empleado exclusivamente por este último.
Según las estadísticas compiladas por Malwarebytes, Rhysida se ha cobrado cinco víctimas durante el mes de octubre de 2023, lo que la sitúa muy por detrás de LockBit (64), NoEscape (40), PLAY (36), ALPHV/BlackCat (29) y 8BASE (21). .
Las agencias describieron al grupo como parte de ataques oportunistas para violar objetivos y aprovechar técnicas de vida de la tierra (LotL) para facilitar el movimiento lateral y establecer acceso VPN.
Al hacerlo, la idea es evadir la detección mezclándose con sistemas Windows y actividades de red legítimos.
El giro de Vice Society hacia Rhysida se ha visto reforzado a raíz de una nueva investigación publicada por Sophos a principios de la semana pasada, que decía que observó al mismo actor de amenazas usando Vice Society hasta junio de 2023, cuando pasó a implementar Rhysida.
La empresa de ciberseguridad está rastreando el clúster con el nombre TAC5279.
«En particular, según el sitio de filtración de datos del grupo de ransomware, Vice Society no ha publicado una víctima desde julio de 2023, que es aproximadamente cuando Rhysida comenzó a informar sobre víctimas en su sitio», dijeron los investigadores de Sophos Colin Cowie y Morgan Demboski .
El desarrollo se produce cuando BlackCat ransomware Gang está atacando corporaciones y entidades públicas utilizando anuncios de Google mezclados con malware Nitrogen, según eSentire.
«Este afiliado está publicando anuncios de Google que promocionan software popular, como Advanced IP Scanner, Slack, WinSCP y Cisco AnyConnect, para atraer profesionales de negocios a sitios web controlados por atacantes», dijo la compañía canadiense de ciberseguridad.
Los instaladores maliciosos, que vienen equipados con Nitrogen , que es un malware de acceso inicial capaz de entregar cargas útiles de la siguiente etapa en un entorno comprometido, incluido el ransomware.
«Ejemplos conocidos de malware de acceso inicial asociado a ransomware que aprovechan ataques basados en navegador incluyen GootLoader , SocGholish , BATLOADER y ahora Nitrogen «, dijo eSentire . «Curiosamente, se ha observado que ALPHV es el final de al menos dos de estos programas maliciosos de acceso inicial basados en navegador: GootLoader y Nitrogen».
La naturaleza en constante evolución del panorama del ransomware se evidencia aún más en el hecho de que 29 de los 60 grupos de ransomware actualmente activos comenzaron a operar este año, según WithSecure, en parte impulsado por las filtraciones de código fuente de Babuk, Conti y LockBit a lo largo de los años. .
«Las filtraciones de datos no son lo único que lleva a que los grupos mayores se polinicen con los más jóvenes», dijo WithSecure en un informe compartido con The Hacker News.
«Las bandas de ransomware tienen personal como una empresa de TI. Y al igual que una empresa de TI, las personas a veces cambian de trabajo y traen consigo sus habilidades y conocimientos únicos. Sin embargo, a diferencia de las empresas de TI legítimas, no hay nada que impida que un ciberdelincuente se apodere de recursos propietarios ( como código o herramientas) de una operación de ransomware y usarlo en otra. No hay honor entre los ladrones».
¿Has encontrado a este artículo interesante? Puedes seguirnos en Facebook , Twitter y LinkedIn para leer más contenido que publicamos o contáctanos.