Il ransomware Rhysida, individuato per la prima volta tre mesi fa, si sta diffondendo rapidamente online.
Al momento, i settori più colpiti sembrano essere l'istruzione, la produzione industriale e, in particolare crescita, sembra essere l'assistenza sanitaria.
Attraverso l'instancabile lavoro di Check Point, è stato notato come alcune tecniche adottate da questo agente malevolo appaiono molto simili a quelle di Vice Society. Stiamo parlando di un altro gruppo ransomware, in circolazione da un paio di anni, caratterizzato da un'elevato tasso di aggressività.
L'evidente somiglianza con Vice Society evidenzia anche la tendenza nel mondo dei criminali informatici di riutilizzare codice e altri componenti di malware già esistenti nei propri strumenti dannosi, secondo quanto affermato da Talos di Cisco.
Rhysida è considerato temibile non solo per la facilità con cui si propaga. La sua tendenza alla tecnica nota come doppia estorsione, rende questa minaccia ancora più concreta rispetto ai classici ransomware.
Rhysida sfrutta alcune tecniche del ransomware Vice Society, già attivo da un paio di anni
Secondo Talos "C'è stata un'enorme crescita nello spazio del ransomware e dell'estorsione, potenzialmente collegata alla pletora di builder trapelati e codice sorgente relativo a vari cartelli di ransomware".
Gli stessi ricercatori, riferendosi proprio a Rhysida hanno commentato come "Questo è solo un altro esempio di come questi gruppi possano sviluppare rapidamente le proprie varianti di ransomware appoggiandosi alle spalle di quei criminali che hanno già mostrato pubblicamente il loro lavoro".
Gli studi attuati sul ransomware hanno individuato come il phishing la scelta come vettore principale di diffusione. Attraverso questo canale, poi, viene diffuso un payload che diffonde Cobalt Strike.
Ad infezione avvenuta, l'agente malevolo agisce spostandosi attraverso la rete compromessa con diversi strumenti come Remote Desktop Protocol (RDP) e Remote PowerShell Sessions (WinRM).
I cybercriminali, poi, utilizzano più backdoor per garantire la persistenza sui sistemi infettati, sfruttando SystemBC (un malware proxy) e AnyDesk (strumento di gestione remota legittimo). Il tutto per eludere rilevamenti e non lasciare tracce.
Così come per qualunque ransomware, anche nel caso di Rhysida è importante prevenire l'eventuale infezione. In questo caso, evitare di cadere nel tranello di e-mail phishing, permette di ridurre in maniera drastica qualunque tipo di rischio.