Le FBI et la CISA ont mis en garde aujourd’hui contre les attaques opportunistes du gang de ransomware Rhysida ciblant des organisations de plusieurs secteurs industriels.
Rhysida, une entreprise de ransomware apparue en mai 2023, a rapidement gagné en notoriété après avoir piraté l’armée chilienne (Ejército de Chile) et divulgué des données volées en ligne.
Récemment, le ministère américain de la Santé et des Services sociaux (HHS) a également averti que le gang Rhysida était responsable des récentes attaques contre des établissements de santé.
L’avis conjoint de cybersécurité d’aujourd’hui fournit aux défenseurs des indicateurs de compromission (IOC), des informations de détection et des tactiques, techniques et procédures (TTP) de Rhysida découvertes au cours des enquêtes menées en septembre 2023.
« Les auteurs de menaces exploitant le ransomware Rhysida sont connus pour avoir un impact sur des « cibles d’opportunité », notamment des victimes dans les secteurs de l’éducation, de la santé, de la fabrication, des technologies de l’information et du gouvernement », ont noté les deux agences.
« Observés comme un modèle de ransomware-as-a-service (RaaS), les acteurs de Rhysida ont compromis des organisations dans les secteurs de l’éducation, de l’industrie manufacturière, des technologies de l’information et du gouvernement, et toute rançon payée est partagée entre le groupe et ses filiales. »
Les attaquants de Rhysida ont également été détectés en train de pirater des services distants externes (comme les VPN qui permettent aux utilisateurs d’entreprise d’accéder aux actifs de l’entreprise depuis des emplacements externes) en utilisant des informations d’identification volées pour établir un accès initial et maintenir une présence au sein des réseaux des victimes.
Cela a été possible en ciblant des organisations pour lesquelles l’authentification multifacteur (MFA) n’était pas activée par défaut dans leur environnement.
De plus, les acteurs malveillants de Rhysida sont connus pour leurs attaques de phishing et l’exploitation de Zerologon (CVE-2020-1472), une vulnérabilité critique permettant l’élévation des privilèges Windows au sein du protocole Netlogon Remote de Microsoft.
Le FBI et la CISA ajoutent que les affiliés associés au groupe de ransomwares Vice Society, suivis par Microsoft sous le nom de Vanilla Tempest ou DEV-0832, ont commencé à utiliser les charges utiles du ransomware Rhysida lors de leurs attaques.
Sophos, Check Point Research et PRODAFT Research ont noté que ce changement s’est produit vers juillet 2023, juste après que Rhysida a commencé à ajouter des victimes à son site Web de fuite de données.
Il est conseillé aux défenseurs des réseaux d’appliquer les mesures d’atténuation décrites dans l’avis conjoint d’aujourd’hui afin de minimiser la probabilité et la gravité des incidents de ransomware comme Rhysida.
À tout le moins, il est crucial de donner la priorité aux correctifs des vulnérabilités en cours d’exploitation active, en permettant l’authentification multifacteur sur tous les services (en particulier pour la messagerie Web, les VPN et les comptes système critiques) et en utilisant la segmentation du réseau pour bloquer les tentatives de mouvement latéral.