El FBI y el CISA advierten de la amenaza del ransomware Rhysida
La Agencia Estadounidense de Ciberseguridad y Seguridad de las Infraestructuras (CISA) y la Oficina Federal de Investigación (FBI) han emitido una advertencia contra la amenaza del ransomware Rhysida. Según la advertencia del advertencia del FBI y la CISAse ha observado que los autores de las amenazas están lanzando ataques contra organizaciones de diversos sectores.
Hoy compartiremos con ustedes toda la información sobre Rhysida para asegurarte de que estás bien equipado para proteger tu organización.
Informes de inteligencia sobre amenazas del ransomware Rhysida
Una investigación realizada por Kaspersky ha revelado que los actores de la amenaza Rhysida utilizan un malware ladrón de información llamado Lumar para llevar a cabo ataques de ransomware. El ladrón de información es capaz de extraer diferentes tipos de datos, que pueden incluir:
- Contraseñas.
- Galletas.
- Sesiones de telegramas.
- Archivos de escritorio.
- Criptomoneda.
Los informes sobre amenazas a la ciberseguridad también revelan que el malware, elaborado en C++, es capaz de eludir los protocolos de detección incluso en los sistemas operativos más recientes, como Windows 11. Cabe destacar que Rhysida puede cifrar directorios activos, lo que permite a los atacantes pedir un rescate por el descifrado.
Más información en investigación de Forta ha desvelado que el equipo de Rhysida estaba atacando activamente a empresas sanitarias. El daño potencial que puede producirse al caer presa de Rhysida es muy grave. Dicho esto, seguir las buenas prácticas de ciberseguridad se ha convertido en una necesidad para las organizaciones, independientemente de su sector.
Alerta conjunta FBI-CISA
A alerta de ataques de ransomware afirma que han ampliado su objetivo en los últimos meses. Un extracto del informe de alerta dice: "Observado como un modelo de ransomware como servicio (RaaS), los actores de Rhysida han comprometido organizaciones en los sectores de educación, fabricación, tecnología de la información y gobierno, y cualquier rescate pagado se divide entre el grupo y sus afiliados."
Además, los informes han descrito al grupo como uno que se dedica a ataques oportunistas. Estos actores de amenazas son conocidos por aprovechar las técnicas de "vivir fuera de la tierra" (LotL) para penetrar en objetivos, establecer un acceso de red privada virtual (VPN) y realizar movimientos laterales para ampliar aún más la superficie de ataque.
Las personas vulnerables a este tipo de amenazas deben comprender que el concepto que subyace a este enfoque es mezclarse con las actividades legítimas de la red y del sistema Windows. Una vez mezclados, los actores de la amenaza son capaces de eliminar la posibilidad de ser detectados por los sistemas de respuesta a incidentes de ciberseguridad. equipos de respuesta a incidentes ciberseguridad.
Aviso sobre el ransomware Rhysida - Detalles del ataque
Los ataques en línea llevados a cabo por Rhysida aparecieron por primera vez en mayo de 2023. Se cree que estos actores de amenazas aprovechan servicios remotos externos como VPN, la vulnerabilidad Zerologon (CVE-2020-1472) y campañas de phishing para acceder a la red.
Tras obtener acceso a la red y los datos de una organización, Rhysida utiliza una doble técnica de extorsión. Los que caen presa de los ataques tienen que pagar el rescate o enfrentarse a la amenaza de que se publiquen los datos robados.
Se sospecha que el actor de la amenaza coincide con otro grupo de ransomware, Sociedad Vicedadas las similitudes en los objetivos y las tácticas de ataque. Antes de desarrollar estrategias de defensa contra el ransomwarelos profesionales de la seguridad deben saber en qué se diferencia Rhysida.
El grupo ransomware opera como una empresa de TI y mantiene una base de empleados estructurada. Además, estos actores de amenazas siguen directrices estrictas para ocultar sus operaciones y las llevan a cabo utilizando la red Tor.
Conclusión
El FBI y CISA han emitido una alerta relativa a un grupo de ransomware llamado Rhysida que se dirige a organizaciones de diversos sectores. El grupo es conocido por explotar CVE-2020-1472, utilizar técnicas de phishing y emplear la doble extorsión.
Dada la gravedad del ataque y sus daños, protegerse contra el ransomware y aprender cómo recuperarse son esenciales para las empresas que desean mejorar su seguridad y proteger su red.
Las fuentes de este artículo incluyen artículos en The Hacker News y Cybersecurity Insiders.