Un nuovo nome si aggiunge alla lunga lista internazionale di criminali informatici.

Il mondo è nuovamente scosso da gravi attacchi informatici provenienti da un collettivo appena emerso.
Trattasi di Rhysida, una cybergang balzata agli onori della cronaca in seguito all’attacco sferrato in Inghilterra alla British Library.

Sebbene il nome sia nuovo, il modus operandi è sempre lo stesso: dati sensibili trafugati mediante ransomware, richiesta di riscatto con doppia estorsione e in seguito rivendita sul dark web.
Tuttavia, la biblioteca nazionale britannica non è stata il solo bersaglio del collettivo. Sono giunte segnalazioni di attacchi avvenuti contro le principali istituzioni in Portogallo, Cile e Kuwait, assieme a diversi enti italiani.

Rhysida cybergang
  1. Chi è Rhysida?
  2. Come funziona il ransomware Rhysida?
  3. Vittime accertate di Rhysida ransomware
  4. Come proteggersi dal ransomware Rhysida e le sue evoluzioni

Chi è Rhysida?

Le origini di Rhysida sono avvolte nel mistero.

Nonostante le molteplici domande a riguardo, nessuno è in grado di fornire una risposta concreta.
Secondo le dichiarazioni di Rafe Pilling, cybersecurity analyst di Secureworks, il gruppo avrebbe iniziato la propria attività a partire dal 2021, firmandosi come Gold Victor, nome in seguito cambiato a seguito di notevoli pressioni da parte delle forze dell’ordine. Analizzando il loro modus operandi, si è giunti a conclusione che i membri di Rhysida proverrebbero da:

  • Russia
  • Bielorussia
  • Kazakistan.

Tuttavia, ciò che ha destato più di un allarme è la loro rapidissima evoluzione, unita al loro ransomware omonimo.
Questo è concepito come un RaaS (Ransomware-as-a-Service), che si traduce in un vero e proprio prodotto che non solo viene venduto sul dark web ad altri criminali, ma viene anche costantemente aggiornato dal collettivo stesso.
A questo è associata una clausola: oltre al prezzo di vendita, deve essere a loro corrisposta una percentuale dei proventi del riscatto ad attacco eseguito.
Il ransomware omonimo è stato osservato per la prima volta a maggio 2023, quando le azioni della cybergang sono emerse sul loro portale di supporto in host su TOR.

In quell’occasione Rhysida si è presentata come un team di sicurezza informatica che faceva un favore alle loro vittime, in quanto, avendo preso di mira i loro sistemi, metteva in mostra le implicazioni derivanti da una ramificazione estesa delle falle nella loro sicurezza.

logo rhysida ransomware gang

Come funziona il ransomware Rhysida?

Rhysida è un ransomware che non possiede un singolo metodo di deploy.
Il più osservato dagli esperti IT avviene mediante Cobalt Strike, un framework progettato per simulare tattiche di attacco avversarie e di red team, unito a campagne di phishing studiate a tavolino.
Le porzioni di codice del ransomware analizzate a seguito degli attacchi mettono in luce come questo sia in realtà ancora all’inizio del suo ciclo di sviluppo. Questo perché i payloads omettono alcuni elementi moderni, come il VSS removal. Nonostante ciò, il modus operandi della doppia estorsione è ugualmente presente.
Una volta che il payload viene eseguito all’interno del sistema obiettivo, Rhysida mostra una finestra prompt di Windows mentre scorre tutti gli elementi presenti sui drive locali. Completata la scansione, il ransomware esporta i dati verso i server del collettivo e in seguito avviene la criptazione in locale, mediante l’algoritmo ChaCha20. Sebbene durante gli ultimi aggiornamenti parrebbe che la cybergang sia interessata ad utilizzare altri algoritmi, attualmente l’unica implementazione completa è proprio quest’ultima.
A criptazione ultimata, il ransomware mostra a schermo un PDF rinominato CriticalBreachDetected.pdf, in cui le vittime vengono messe al corrente della situazione.

Nel documento sono presenti:

  • La presentazione di Rhysida in cui si spaccia come un team di cybersecurity.
  • L’avvenuta criptazione dei dati in locale e le conseguenze derivanti dalla pubblicazione sul web di quelli esfiltrati.
  • Le istruzioni su come contattarli mediante il loro portale TOR-based.
  • La richiesta di riscatto in bitcoin mascherata da acquisto di un software proprietario per la rimozione del ransomware e il recupero dei dati.
  • Il loro ID univoco da usare al momento del pagamento, a cui segue un form da compilare obbligatoriamente, il cui scopo è estorcere ulteriori informazioni alle vittime.

È inoltre emerso che i suoi autori sfruttano prevalentemente servizi remoti per inserirsi nelle reti delle loro vittime, come VPN e RDP.
Fatto ciò, utilizzano un sistema di credenziali compromesse per autenticarsi ai vari checkpoint delle VPN interne. Per i tentativi di phishing più avanzati, Rhysida sfrutta Zerologon, una vulnerabilità scoperta l’11 settembre 2023 e intrinseca alla crittografia Netlogon di Microsoft. Ciò permette ai cybercriminali di attaccare direttamente i controller di dominio.

Vittime accertate di Rhysida ransomware

Sin dal primo attacco accertato della cybergang, l’FBI e la CISA hanno emesso un avviso congiunto per mettere in guardia le organizzazioni mondiali sulle azioni del collettivo. Alla data di pubblicazione di questo articolo sono accertate almeno 62 aziende vittima di un loro attacco. I bersagli prediletti risultano essere istituti d’istruzione, sanità pubblica, enti governativi e agenzie di sicurezza.
Tra le più note si citano:

Azienda Ospedaliera Universitaria Integrata di Verona
L’attacco è avvenuto il 10 novembre 2023 e Rhysida ha chiesto un riscatto pari a 10 BitCoin (circa 350.000 euro) da versare loro entro una settimana. Il 17 novembre 2023 sulla rete onion del gruppo sono stati pubblicati 612 GB di materiale trafugato, una piccola parte dei 29 TB archiviati sui server dell’azienda ospedaliera.

The British Library
L’attacco è avvenuto a Novembre 2023, con il collettivo che ha richiesto 20 BitCoin (circa 590.000 sterline) come riscatto. La Biblioteca Nazionale Britannica si è rifiutata di cedere e alcuni dei dati trafugati sono apparsi ad un’asta online.

Esercito del Cile
A Maggio 2023 il sito web e i sistemi di posta elettronica dell’esercito cileno sono stati attaccati da Rhysida, con criptazione dei dati sensibili e richiesta di riscatto per 50 BitCoin (circa 2 milioni di dollari). La gang ha in seguito pubblicato alcuni dei dati sottratti sulla loro rete onion, inclusi documenti militari e informazioni personali di ufficiali e soldati.

Prospect Medical Holdings
L’attacco risale ad Agosto 2023 e anche qui la gang ha chiesto un riscatto di 50 BitCoin (circa 2 milioni di dollari), minacciando la diffusione oltre 500.000 cartelle cliniche di pazienti, unite a informazioni personali di impiegati e medici. Il riscatto non è stato pagato e i dati trafugati sono finiti all’asta sul deep web.

Ministero della Salute del Kuwait
L’attacco risale a Luglio 2023 e anche in questo caso Rhysida ha chiesto 50 BitCoin di riscatto, dopo aver criptato i dati sensibili ministeriali. Alcuni di questi sono apparsi sulla rete onion della gang, mentre altri sono finiti alle aste sul deep web. Tra quelli pubblicati si indicano referti medici e informazioni personali di medici, pazienti e staff ministeriale.

Come proteggersi dal ransomware Rhysida e le sue evoluzioni

Essendo un RaaS, Rhysida è in continua evoluzione.
Nuove funzionalità e correzioni vengono implementate con regolarità, oltre all’essere anche in vendita sul dark web.
Prevedere una sua emersione in un sistema aziendale è pressoché impossibile, ma mitigare i danni resta sempre la soluzione più concreta e percorribile.

Di seguito sono riportati alcuni suggerimenti per incrementare la propria sicurezza informatica e quella dell’ente di riferimento.

  • Aggiornare sempre e costantemente i software di sistema e i protocolli di sicurezza.
    Bisogna sempre assicurarsi che la propria organizzazione e i clienti ad essa associati adottino robuste politiche di sicurezza.
    Tutti i sistemi, l’hardware e i software in uso devono essere costantemente aggiornati con puntualità. Ciò riduce di molto le possibilità di un’infezione da ransomware.
  • Adottare una soluzione di filtraggio e-mail efficace. Poiché solitamente i ransomware sfruttano come entry point la posta elettronica, è obbligatorio adottare un filtro in grado di rilevare e-mail di spoofing, phishing e contenenti file malevoli sin dal principio.
  • Implementare un piano di monitoraggio degli endpoint affidabile. Senza alcun endpoint sicuro e monitorato, i cybercriminali possono identificare immediatamente le vulnerabilità presenti nella rete della compagnia. Per cui rafforzare la sicurezza delle stesse si rende non solo essenziale, ma tassativo, in quanto una rete con endpoint rafforzati e monitoraggio costante scoraggia i collettivi a tentare un attacco e permette all’organizzazione di individuare potenziali falle in maniera proattiva.
  • Istruire i propri clienti alle migliori pratiche e limitare i loro privilegi utente.
    In genere i principali attacchi non provengono tanto attraverso la compagnia, ma tramite i clienti ad essa associati, che rappresentano i soggetti più esposti a tali pratiche. Per cui è necessario doverli istruire con pratiche di sicurezza base e spingerli all’uso dell’autenticazione in due fattori sui loro dispositivi. Questo non solo permette alla propria organizzazione di rafforzare la propria cybersecurity, ma aiuta anche i clienti a proteggersi.