Una nuova minaccia nel panorama della criminalità informatica sta allertando la cybersicurezza e allertando le autorità internazionali. Rhysida, il nome dietro l’attacco alla British Library, si è fatto notare non solo per la sua audace incursione – in cui sono stati rubati centinaia di dati sensibili degli utenti, poi rivenduti in rete con un’offerta iniziale di 20 bitcoin, ossia circa 590.000 sterline – ma anche per una serie di attacchi di cui è stata ritenuta responsabile che hanno preso di mira istituzioni governative in diversi paesi, tra cui Portogallo, Cile e Kuwait, oltre a numerose organizzazioni italiane.
Il gruppo ha fatto parlare di sé non solo per la quantità di attacchi ben mirati, ma anche per l’implementazione di un’operazione “ransomware as a service” (Raas), in cui affitta il suo malware a cybercriminali terzi, dividendone i proventi dei riscatti degli attacchi.
Nonostante il nome Rhysida sia emerso recentemente, alcuni suggeriscono che il gruppo potrebbe avere origini nel 2021 con il nome Gold Victor, cambiando poi denominazione a causa della pressione delle forze dell’ordine. Mentre ci sono indizi che suggeriscono una possibile connessione con Russia, Bielorussia e Kazakistan, l’origine precisa rimane incerta.
L’FBI e la CISA hanno emesso un avviso congiunto mettendo in guardia le organizzazioni di diversi settori industriali dagli attacchi di Rhysida. Il gruppo si ritiene sia attivo dal maggio 2023, e almeno 62 aziende risultano essere vittime dell’operazione. Rhysida ha colpito nel settore dell’istruzione, della sanità, della produzione, della tecnologia dell’informazione e del governo, definendo le sue vittime “bersagli di opportunità”.
Gli attori di Rhysida sfruttano servizi remoti rivolti all’esterno come, ad esempio, VPN e RDP, per ottenere l’accesso iniziale alle reti, utilizzando credenziali compromesse per autenticarsi ai punti di accesso VPN interni, nonché tecniche avanzate. Gli autori delle minacce sono stati osservati mentre sfruttavano Zerologon di Microsoft in tentativi di phishing. Il gruppo si distingue anche nell’utilizzo di strumenti di amministrazione di rete nativi (integrati nel sistema operativo) per compiere le sue operazioni dannose, mantenendo un profilo sfuggente e altamente pericoloso.
L’avviso congiunto dell’FBI e della CISA fa parte dell’iniziativa #StopRansomware, offrendo informazioni cruciali sugli indicatori di compromissione e sulle tattiche utilizzate da Rhysida fino a settembre 2023.
L’incognita rimane sulle origini e sulla forza di questa cybergang, che continua a tenere in allerta le agenzie di sicurezza internazionali, mentre la sua ombra si allunga su un numero sempre crescente di vittime.
https://securityaffairs.com/154224/malware/fbi-cisa-rhysida-ransomware-gang.html