Rhysida
Rhysida est un groupe de Ransomware-as-a-Service (RaaS) apparu en mai 2023, connu pour ses doubles attaques d'extorsion ciblant des secteurs tels que la santé et l'éducation, et ayant des liens avec le célèbre groupe de ransomware Vice Society.
L'origine de Rhysida
Le ransomware Rhysida a été observé pour la première fois en mai 2023 et s'est rapidement imposé comme un important groupe de Ransomware-as-a-Service (RaaS). Connu pour cibler des secteurs critiques, Rhysida a été associé à des attaques contre des institutions majeures telles que l'armée chilienne et Prospect Medical Holdings, qui a touché 17 hôpitaux et 166 cliniques aux États-Unis. Le groupe se présente comme une "équipe de cybersécurité" tout en pratiquant une double extorsion : il chiffre les données et menace de les divulguer publiquement à moins qu'une rançon ne soit payée. Des liens de plus en plus étroits ont été établis entre Rhysida et le groupe de ransomware Vice Society, car des similitudes techniques et opérationnelles ont été observées.
Leur nom, "Rhysida", est dérivé d'un type de mille-pattes, symbolisant leur approche furtive et multi-pattes des cyberattaques.
Cibles
Les cibles de Rhysida
Pays ciblés par Rhysida
Active principalement en Amérique du Nord, en Europe et en Australie, Rhysida a ciblé des organisations dans des pays tels que les États-Unis, l'Italie, l'Espagne et le Royaume-Uni. Ses attaques se sont étendues à divers secteurs d'activité, ce qui témoigne de sa portée mondiale.
Source de l'image : SOCradar
Industries ciblées par Rhysida
Rhysida cible principalement les secteurs de l'éducation, de la santé, du gouvernement et de l'industrie, en exploitant les vulnérabilités des institutions critiques. Ces attaques ont souvent entraîné des perturbations opérationnelles et d'importantes pertes financières et de données.
Source de l'image : Trend Micro
Industries ciblées par Rhysida
Rhysida cible principalement les secteurs de l'éducation, de la santé, du gouvernement et de l'industrie, en exploitant les vulnérabilités des institutions critiques. Ces attaques ont souvent entraîné des perturbations opérationnelles et d'importantes pertes financières et de données.
Source de l'image : Trend Micro
Les victimes de Rhysida
En plus d'attaquer l'armée chilienne, Rhysida a ciblé le secteur de la santé, notamment Prospect Medical Holdings. En outre, elle est responsable de l'intrusion dans plusieurs établissements d'enseignement, y compris des incidents concernant l'Université de l'Écosse occidentale.
Source de l'image : Trend Micro
Méthode d'attaque
Méthode d'attaque de Rhysida
Les acteurs de Rhysida obtiennent l'accès par le biais d'informations d'identification compromises ou de phishing, en utilisant des services externes tels que des VPN sans authentification multifactorielle (MFA). Des exploits tels que la vulnérabilité Zerologon (CVE-2020-1472) ont également été utilisés.
Les attaquants escaladent les privilèges en utilisant des outils tels que ntdsutil.exe pour extraire les informations d'identification du domaine. Ils ont été observés en train de cibler la base de données NTDS pour des changements de mots de passe à l'échelle du domaine.
Rhysida utilise fréquemment PowerShell et PsExec pour effacer les journaux d'événements et supprimer les artefacts médico-légaux, tels que les fichiers et dossiers récemment accédés, les journaux RDP et l'historique PowerShell.
Le groupe utilise des outils de vidage de données d'identification tels que secretsdump pour extraire des informations d'identification des systèmes compromis. Ces informations d'identification permettent aux attaquants d'accroître leurs privilèges et de renforcer leur contrôle sur le réseau.
Les opérateurs de Rhysida utilisent des outils natifs tels que ipconfig, whoamiet net pour effectuer des reconnaissances dans l'environnement de la victime.
Les services à distance tels que RDP et SSH via PuTTY sont utilisés pour les déplacements latéraux. PsExec est fréquemment déployé pour la distribution finale de la charge utile du ransomware.
Avant d'exécuter la charge utile du ransomware, les attaquants rassemblent des données critiques, les préparant au chiffrement ou à l'exfiltration dans le cadre de leur double stratégie d'extorsion.
La charge utile de Rhysida est déployée à l'aide de PsExec, et les données sont cryptées à l'aide des algorithmes de cryptage RSA et ChaCha20 de 4096 bits. La charge utile de Rhysida est déployée à l'aide de PsExec. .rhysida est ajoutée à tous les fichiers cryptés.
Le groupe a recours à une double extorsion, en exfiltrant des données sensibles et en menaçant de les rendre publiques si les rançons ne sont pas payées.
Les opérations de Rhysida aboutissent généralement à de graves perturbations, au cryptage des données et à des demandes de paiement en bitcoins, qui se chiffrent souvent en millions.
Accès Initial
Les acteurs de Rhysida obtiennent l'accès par le biais d'informations d'identification compromises ou de phishing, en utilisant des services externes tels que des VPN sans authentification multifactorielle (MFA). Des exploits tels que la vulnérabilité Zerologon (CVE-2020-1472) ont également été utilisés.
Élévation de privilèges
Les attaquants escaladent les privilèges en utilisant des outils tels que ntdsutil.exe pour extraire les informations d'identification du domaine. Ils ont été observés en train de cibler la base de données NTDS pour des changements de mots de passe à l'échelle du domaine.
Défense Evasion
Rhysida utilise fréquemment PowerShell et PsExec pour effacer les journaux d'événements et supprimer les artefacts médico-légaux, tels que les fichiers et dossiers récemment accédés, les journaux RDP et l'historique PowerShell.
Accès aux identifiants
Le groupe utilise des outils de vidage de données d'identification tels que secretsdump pour extraire des informations d'identification des systèmes compromis. Ces informations d'identification permettent aux attaquants d'accroître leurs privilèges et de renforcer leur contrôle sur le réseau.
Découverte
Les opérateurs de Rhysida utilisent des outils natifs tels que ipconfig, whoamiet net pour effectuer des reconnaissances dans l'environnement de la victime.
Mouvement latéral
Les services à distance tels que RDP et SSH via PuTTY sont utilisés pour les déplacements latéraux. PsExec est fréquemment déployé pour la distribution finale de la charge utile du ransomware.
Collection
Avant d'exécuter la charge utile du ransomware, les attaquants rassemblent des données critiques, les préparant au chiffrement ou à l'exfiltration dans le cadre de leur double stratégie d'extorsion.
Exécution
La charge utile de Rhysida est déployée à l'aide de PsExec, et les données sont cryptées à l'aide des algorithmes de cryptage RSA et ChaCha20 de 4096 bits. La charge utile de Rhysida est déployée à l'aide de PsExec. .rhysida est ajoutée à tous les fichiers cryptés.
Exfiltration
Le groupe a recours à une double extorsion, en exfiltrant des données sensibles et en menaçant de les rendre publiques si les rançons ne sont pas payées.
Impact
Les opérations de Rhysida aboutissent généralement à de graves perturbations, au cryptage des données et à des demandes de paiement en bitcoins, qui se chiffrent souvent en millions.
MITRE ATT&CK Mapping
TTPs utilisés par Rhysida
TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
No items found.
TA0005: Defense Evasion
T1070
Indicator Removal
TA0006: Credential Access
T1528
Steal Application Access Token
T1003
OS Credential Dumping
TA0007: Discovery
No items found.
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
No items found.
TA0011: Command and Control
No items found.
TA0010: Exfiltration
No items found.
TA0040: Impact
T1657
Financial Theft
Détections de la plate-forme
Comment détecter le Rhysida avec Vectra AI
Liste des détections disponibles dans la plateforme Vectra AI qui indiqueraient une attaque de ransomware.
Foire aux questions
Qu'est-ce que le ransomware Rhysida ?
Rhysida est un groupe de Ransomware-as-a-Service qui utilise la double extorsion pour chiffrer et exfiltrer des données, ciblant des secteurs tels que la santé et l'éducation.
Quand Rhysida est-elle apparue ?
Le groupe a été observé pour la première fois en mai 2023.
Quels sont les secteurs d'activité ciblés par Rhysida ?
Elle se concentre principalement sur les secteurs de l'éducation, de la santé, de l'industrie, du gouvernement et des technologies de l'information.
Quels sont les pays touchés par la Rhysida ?
Le groupe a été le plus actif aux États-Unis, au Royaume-Uni, en Italie et en Espagne.
Comment Rhysida accède-t-elle aux réseaux ?
Les acteurs de Rhysida obtiennent un accès par le biais de phishing ou en exploitant les vulnérabilités des services externes, souvent en s'appuyant sur des informations d'identification faibles ou volées.
Quelles sont les méthodes de cryptage utilisées par Rhysida ?
Le groupe utilise des algorithmes de cryptage RSA et ChaCha20 de 4096 bits pour verrouiller les données des victimes.
Existe-t-il un lien entre Rhysida et Vice Society ?
Il existe des similitudes notables entre les TTP de Rhysida et de Vice Society, ce qui laisse supposer un éventuel chevauchement opérationnel.
Comment les organisations peuvent-elles se protéger contre Rhysida ?
Les organisations doivent mettre en place un système d'accès à l'Internet sécurisé (MFA), corriger les vulnérabilités connues et mettre en place des systèmes de sauvegarde et de récupération robustes.
Comment Rhysida évite-t-elle d'être détectée ?
Le groupe utilise des techniques telles que l'effacement des journaux d'événements, la suppression d'artefacts et la dissimulation d'activités par le biais de PowerShell.
Quelles sont les mesures à prendre après une attaque de Rhysida ?
Les organisations doivent isoler les systèmes affectés, conserver les preuves médico-légales, signaler l'incident aux forces de l'ordre et éviter, si possible, de payer la rançon. Il est également recommandé de mettre en œuvre des mesures de sécurité robustes, telles que le NDR et la segmentation du réseau.