Barracuda full logo

Ransomware Rhysida : le criminel rampant et effrayant qui se cache dans le noir

Thèmes:
9 mai 2024
|
Christine Barry

Aujourd'hui, nous nous intéressons au ransomware Rhysida, un ransomware-as-a-service (RaaS) qui utilise la double extorsion pour forcer les victimes à payer une rançon. Rhysida a été observée pour la première fois en mai 2023, mais il s'est avéré par la suite qu'elle était en activité depuis janvier de la même année.

Rhysida est toujours active aujourd'hui et a publié 91 victimes sur son site de fuite. L'activité de ce groupe a augmenté en novembre 2023 et a diminué depuis. La dernière victime est Unimed Vales do Taquari e Rio Pardo (Unimed), qui a eu sept jours pour payer avant que Rhysida ne publie les données volées. 

 

Unimed Vales do Taquari e Rio Pardo (Unimed) sur le site de liaison Rhysida, via Falconfeeds

Unimed Vales do Taquari e Rio Pardo (Unimed) sur le site de liaison Rhysida, via Falconfeeds

 

Qui se cache derrière Rhysida ?

L'opération Rhysida est clairement motivée par des raisons financières, mais on ne sait pas grand-chose d'autre sur ce groupe de ransomwares. Elle ne semble pas être affiliée à un État-nation ni attachée à une idéologie politique. Les chercheurs pensent que le groupe se trouve en Russie ou dans la Communauté des États indépendants (CEI), qui est un groupe d'États-nations qui faisaient autrefois partie de l'Union soviétique. Ceci est basé sur plusieurs observations, telles que la langue principale des communications internes (le russe) et la présence de mots et d'expressions russes sur le site malveillant de Rhysida. Le groupe cible des entreprises de tous les pays, à l'exception de celles situées en Russie et dans les autres États de la CEI. Cela laisse supposer qu'ils sont à la portée des services répressifs de la Russie ou de la CEI.

Le groupe tire son nom du genre de mille-pattes Rhysida, dont les analystes ont supposé qu'il était destiné à projeter une image de furtivité et d'ombres. Certains Redditors se sont amusés à penser que ce nom était un hommage à Jack Rhysider, qui est le cerveau et la voix de l'excellent podcast Darknet Diaries.  Je doute que quelqu'un ait pris cette idée au sérieux, mais juste au cas où, voici une capture d'écran du site malveillant de Rhysida :

 

 

En août 2023, le Health Sector Cybersecurity Coordination Center (HC3), une agence du ministère américain de la santé et des services sociaux (HHS), a publié une alerte sectorielle sur le ransomware Rhysida et la menace accrue qui pèse sur les organismes de soins de santé et de santé publique. Dans ce rapport, le HC3 indique que le ransomware Rhysida semble en être aux premiers stades de développement, et d'autres analystes notent que « les échantillons continuent à manquer de fonctionnalités de base telles que la suppression du VSS, des mécanismes de persistance multiples, la terminaison de processus ou le décrochage ». Cela correspondait à l'avis d'autres analystes qui ont émis l'hypothèse que Rhysida était un « malware novice » parce que l'attaque était visible par l'utilisateur final. Voici une capture d'écran de l'attaque en cours :

 

 

Les attaques matures sont conçues pour opérer en arrière-plan et rester invisibles. Les attaques de malwares novices sont moins sophistiquées et plus faciles à détecter et à atténuer. Rhysida s'avère malheureusement être une menace plus avancée quelques mois seulement après la publication de l'alerte HC3.

Fonctionnement de Rhysida

Les opérateurs de Rhysida utilisent un certain nombre de méthodes pour accéder à un système et s'y établir. Voici quelques-unes de leurs favorites :

  • Spear Phishing avec des pièces jointes malveillantes qui exécutent des malwares ou les redirigent vers un site malveillant facilitant le téléchargement de malwares.
  • Exploitation de vulnérabilités non corrigées dans les serveurs web, les serveurs e-mail ou d'autres infrastructures de réseau.
  • Attaquer les points d’accès RDP (Remote Desktop Protocol) et VPN (Virtual Private Network). Pour accéder à ces points d'accès, les pirates peuvent utiliser des identifiants volés, le credential stuffing, des exploits de vulnérabilité ou des attaques par force brute.
  • Détourner ou déployer des outils administratifs légitimes tels que PowerShell, WinSCP, Cobalt Strike, PsExec, etc. pour l'accès initial et pour faciliter les déplacements latéraux au sein des réseaux compromis.

Selon la personne à qui vous posez la question, le hameçonnage ou les attaques RDP sont les principales méthodes d'accès initial, mais Rhysida est capable d'utiliser de nombreuses méthodes différentes.

Une fois que Rhysida a pénétré dans le système, ils intensifient leur attaque en installant leurs malwares personnalisés et en se préparant à l'événement de chiffrement :

  • L'augmentation des privilèges est tentée pour obtenir des autorisations de niveau supérieur sur le réseau. Cela leur donne beaucoup plus de capacités, y compris la possibilité d'extraire et de capturer les identifiants du réseau Windows.
  • Le mouvement latéral est initié dès que possible mais est généralement plus efficace une fois les privilèges augmentés. À ce stade, ils recueillent des informations sur les systèmes et les données et diffusent malwares dans l'ensemble du système afin de préparer une attaque de grande envergure.
  • L'exfiltration des données est l'étape suivante. Rhysida vole des données du système avant de lancer le chiffrement. Ils peuvent ainsi menacer de divulguer les données volées si la victime refuse d'acheter une clé de déchiffrement.

Nous en sommes maintenant au point de chiffrement.

  • Le fichier binaire du ransomware Rhysida est exécuté à l'aide de PsExec, un outil système qui vous permet d'exécuter des programmes sur des systèmes distants. Cela les aide à étendre le « rayon d'explosion » sur le réseau. Le ransomware laisse les données du serveur et du poste de travail chiffrées et renommées avec une extension de fichier .rhysida .
  • Une demande de rançon est déposée sur les systèmes infectés. Elle laisse des instructions pour le paiement et indique que « l'équipe de cybersécurité Rhysida » informe la victime d'une faille détectée :

 

 

La demande de rançon est un PDF nommé « CriticalBreachDetected.pdf ».

De là, l'extorsion se déroule comme la plupart des autres attaques de ransomware : les victimes sont informées de la manière de payer la rançon et disposent d'un délai avant que leurs données ne soient publiées ou vendues. Le nom de la victime est publié sur le site de fuite Rhysida, accompagné de captures d'écran ou de morceaux de données volées. C'est ainsi que se met en place le jeu de la double extorsion.

Rhysida tente également de maintenir sa présence dans le réseau afin de surveiller la situation, d'imposer ses exigences et de se préparer à de futures attaques.

Le ransomware personnalisé de Rhysida

L'un des aspects intéressants de Rhysida, c'est que même s'il semblait être un malware novice en août 2023, il a été décrit comme un malware sophistiqué dès octobre 2023. En février 2024, des chercheurs de laKookmin University et de laKorea Internet and Security Agency (KISA) ont découvert une vulnérabilité dans le code source du ransomware Rhysida. Ces chercheurs ont publié des informations détaillées sur la vulnérabilité et une méthode de déchiffrement éprouvée.

Des chercheurs en sécurité ont observé que le ransomware de Rhysida utilisait un mécanisme d'auto-suppression qui supprimait le binaire du ransomware du système une fois chiffré. Cela masque les informations sur l’attaque et complique l’analyse légale. Rhysida est également compatible avec les versions de Microsoft Windows antérieures à Windows 10. Cela élargit la base cible potentielle de quelques points de pourcentage. Selon une estimation rapide basée sur les parts de marché et d'autres données, cette rétrocompatibilité expose 63,3 millions de systèmes Windows supplémentaires. On espère que le chiffre réel n'est pas aussi élevé. Bon nombre de ces systèmes sont probablement isolés ou en train d'être remplacés à l'approche de la fin de vie de Windows 10. C'est toujours un risque, et si vous utilisez ces anciens systèmes en fin de vie, la rétrocompatibilité de Rhysida est une autre raison de mettre à jour.

Victimes notables

Rhysida attaque des entreprises de tous les secteurs économiques. Le groupe a attiré l'attention du secteur de la sécurité en piratant avec succès l'armée chilienne, une faille découverte par des responsables de l'armée chilienne le week-end du 27 mai 2024. Rhysida a obtenu un accès par le biais d'une attaque d'hameçonnage et a finalement divulgué environ 30 % des documents qu'elle prétend avoir volés. 

 

 

Rhysida a également fait plusieurs victimes importantes dans le secteur des soins de santé, notamment Unimed (mentionné ci-dessus), Prospect Medical Holdings et Lurie's Children's Hospital. L'attaque de Prospect Medical Holdings a touché 17 hôpitaux et 166 cliniques à travers les États-Unis. Rhysida a affirmé avoir exfiltré 1,3 téraoctet de bases de données SQL et un téraoctet de documents. Security Boulevard a compilé cette séquence d'événements liés à l'attaque :

  1. Le rançongiciel Rhysida a commencé à lancer l'attaque en diffusant des fichiers infectés par le biais d'e-mails d'hameçonnage et Cobalt Strike.
  2. 3 août 2023 Les employés de Prospect sont informés de l'attaque et découvrent que leurs ordinateurs sont désactivés par un ransomware.
  3. Plus tard dans la journée, Prospect a commencé à fermer des systèmes et des liens de réseau pour contenir l'incident.
  4. En conséquence, tous les dossiers et la gestion des patients reviennent au format papier, ce qui ralentit le traitement et entrave les soins. 
  5. Prospect a entamé le processus ardu de restauration des systèmes et de rétablissement de la connectivité réseau dans l'ensemble de l'organisation.
  6. Le 24 août 2023, Rhysidia revendique le mérite en faisant de la publicité pour ses biens volés sur le Dark Web. 
  7. Septembre 2023, Prospect annonce que leurs « systèmes informatiques sont maintenant de nouveau opérationnels »
  8. Au cours des mois, voire des années qui ont suivi, Prospect va enquêter sur l'ampleur de l'attaque et gérer les retombées de l'incident liées à l'HIPAA. 

Rhysida a attaqué avec succès la British Library en novembre 2023, chiffrant des fichiers et volant environ 600 Go de données, y compris des informations personnelles sensibles sur les utilisateurs et le personnel de la bibliothèque. Les perturbations opérationnelles de la bibliothèque se sont poursuivies en 2024, et les coûts de récupération ont été estimés entre 7,5 et 8,7 millions de dollars. La bibliothèque a décidé de ne pas payer la rançon, qui était inférieure à 1 million de dollars à l’époque.

La British Library a publié un compte rendu détaillé des incidents ici. L'un des principaux points à retenir est ce paragraphe de la page 2 du rapport :

« Nos principaux systèmes logiciels ne peuvent pas être ramenés dans leur forme d'avant l'attaque, soit parce qu'ils ne sont plus pris en charge par le fournisseur, soit parce qu'ils ne fonctionneront pas sur la nouvelle infrastructure sécurisée qui est actuellement en cours de déploiement.. Cela inclut notre principale plateforme de services de bibliothèque, qui propose des services allant du catalogage et de l'ingestion de documents non imprimés déposés légalement (NPLD) à l'accès aux collections et au prêt entre bibliothèques. D'autres systèmes devront être modifiés ou migrés vers des versions logicielles plus récentes avant de pouvoir être restaurés dans la nouvelle infrastructure. Nos systèmes basés sur le cloud, y compris les finances et la paie, ont fonctionné normalement tout au long de l'incident. »

(mon accentuation en gras)

Je le signale parce que nous avons discuté des risques liés aux anciens systèmes et de la difficulté de les sécuriser. Si vous cherchez des justifications pour vous aider à établir un budget pour la mise à niveau de vos systèmes, ce rapport pourrait vous être utile.

En décembre 2023, Rhysida a décroché la palme en attaquant avec succès Insomniac Games, un développeur de jeux vidéo qui travaillait sur le jeu « Marvel's Wolverine » à l'époque. Les données volées se sont révélées être un trésor pour les criminels. Les données comprenaient des documents RH internes, des scans de passeports d'employés, des captures d'écran de conversations Slack, des détails sur les projets à venir, ainsi que des accords de non-divulgation et d'autres contrats. Tandis que les criminels endurcis s'attaquent aux fichiers personnels, les pirates ordinaires s'intéressent aux jeux qui ont été divulgués dans le cadre de ces données. Il existe toujours un subreddit actif dédié au partage des fuites concernant le piratage de « the Great Insomniac et PlayStation en décembre 2023. » 

Historique de Rhysida

Rhysida et Vice Society sont liées d'une manière ou d'une autre, mais les opinions diffèrent sur leur relation. La plupart des rapports ont conclu que Rhysida était une nouvelle marque de l'ancien groupe.

Le lien entre Vice Society et Rhysida repose sur des tactiques qui se chevauchent et sur l'utilisation occasionnelle des charges utiles des ransomwares de l'un et de l'autre. Les méthodes de chiffrement de Rhysida et la structure de ses notes de ransomware sont également similaires, et il a été observé que Rhysida utilisait les serveurs et les domaines utilisés par Vice Society.

Vice Society est un ransomware à double extorsion apparu en 2021 et qui est rapidement devenu l'une des principales menaces pour le secteur de l'éducation, en particulier les écoles publiques. Vous vous souvenez peut-être du nom de l'attaque massive contre le Angeles Unified School District (LAUSD) en 2022. LAUSD n'a pas payé la rançon et Vice Society a mis ses menaces à exécution. L'attaque a causé d'importantes perturbations et a entraîné la fuite de milliers de dossiers d'étudiants et d'employés. Une analyse indépendante réalisée par The 74 a révélé qu'environ 2 000 évaluations psychologiques d'étudiants avaient été piratées.

Contrairement à de nombreux groupes de ransomware, Vice Society est un groupe fermé qui n'a pas d'affiliés et ne fonctionne pas comme un RaaS. On pense qu’il s’agit d’une organisation basée en Russie.

L'activité de la Vice Society a commencé à diminuer juste au moment où Rhysida est apparue. Pour cette raison et pour les autres énumérées ci-dessus, il est largement admis que les origines de Rhysida se trouvent dans la Société du Vice. Ce qui est étrange, c’est que le malware personnalisé Rhysida était considéré comme « basique » lorsqu’il est apparu pour la première fois. Comme mentionné dans la section « Qui se cache derrière Rhysida », le ransomware était considéré comme un malware novice. Cela semblait inhabituel pour un pirate qui attaque avec succès des cibles de premier plan dans les domaines de l'éducation, de la santé et d'autres secteurs. 

 

 

Vice Society a également inscrit San Francisco Bay Area Rapid Transport (BART) sur son site en janvier 2023. BART n'a pas payé la rançon et environ 120 000 documents ont été divulgués. Ces fichiers ont été volés à la BART Police, et ils contenaient des informations potentiellement préjudiciables et embarrassantes :

Les dossiers comprennent des rapports non expurgés faisant état de suspicions de maltraitance d'enfants, y compris le nom et la date de naissance des enfants et, dans certains cas, la description de l'adulte et de l'incident de maltraitance présumé.

La fuite a également révélé des formulaires de dossier de santé mentale que le service de police des transports pourrait utiliser pour recommander une évaluation de la santé mentale d'une personne, des rapports établissant un lien entre des suspects nommés et divers crimes, les noms et les numéros de permis de conduire de contractants du BART, ainsi que des documents relatifs à des candidats à l'embauche.

Il semble étrange qu'un groupe aussi expérimenté se transforme en un groupe utilisant des malwares novices. Mais Rhysida a amélioré son ransomware très rapidement, et c'est peut-être parce qu'il a récupéré quelques pirates expérimentés de Vice Society.

Et ensuite ?

Les calendriers de Vice Society et de Rhysida se chevauchent, tout comme leurs tactiques. Il n’y a pas eu beaucoup d'actualités sur Vice Society depuis août 2023, lorsque les chercheurs ont réalisé le lien entre les groupes.

Le problème avec des noms tels que Vice Society et Rhysida, c'est qu'il ne s'agit que de marques temporaires destinées à des groupes de pirates qui peuvent facilement en changer. Les groupes qui se cachent derrière les marques sont toujours actifs, même lorsque la marque tire sa révérence ou disparaît.

La meilleure façon de se défendre contre les familles de ransomwares comme Rhysida est d'adopter un état d'esprit zero trust. Supposez que tout est une attaque et vérifiez tout le temps. L'U.S. Cybersecurity and Infrastructure Agency (CISA) recommande aux entreprises de procéder immédiatement comme suit :

  • Donner la priorité à la correction des vulnérabilités exploitées connues.
  • Activez l'authentification multifactorielle (MFA) pour tous les services dans la mesure du possible, en particulier pour le webmail, le VPN et les comptes qui accèdent à des systèmes critiques.
  • Segmenter les réseaux pour empêcher la propagation des ransomwares.

Vous trouverez plus d'informations dans l'avis de la CISA publié ici.

Barracuda peut vous aider  

Seul Barracuda offre une protection polyvalente qui couvre les principaux vecteurs de menace, protège vos données et automatise les réponses aux incidents. Plus de 200 000 clients dans le monde comptent sur Barracuda pour protéger leurs e-mails, leurs réseaux, leurs applications et leurs données. Rendez-vous sur notre site Web pour découvrir notre plateforme complète de cybersécurité.

 

 

Christine Barry

Christine Barry est Senior Chief Blogger et Social Media Manager chez Barracuda.  Avant de rejoindre Barracuda, Christine a été ingénieure de terrain et chef de projet dans l'éducation et auprès de PME pendant plus de 15 ans. Elle est titulaire de plusieurs diplômes en technologie et en gestion de projet, d'un "Bachelor of Arts" et d'un "Master of Business Administration".Elle est diplômée de l'université du Michigan.

Connectez-vous avec Christine sur LinkedIn.

Billets associés :
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
 Lazarus Group: A criminal syndicate with a flag
Lazarus Group: A criminal syndicate with a flag
 Choc du système : le ransomware Storm-0501 migre vers le cloud
Choc du système : le ransomware Storm-0501 migre vers le cloud
 Premiers signes d’attaques par ransomware basées sur l’IA
Premiers signes d’attaques par ransomware basées sur l’IA
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.