L’opération de rançongiciel Rhysida se fait un nom après qu’une vague d’attaques contre des organisations de santé a forcé les agences gouvernementales et les entreprises de cybersécurité à accorder une plus grande attention à ses opérations.

Suite à un bulletin de sécurité du département américain de la Santé et des Services sociaux (HHS), CheckPoint, Cisco Talos et Trend Micro ont tous publié des rapports sur Rhysida, se concentrant sur différents aspects des opérations de l’acteur menaçant.

Auparavant, en juin, Rhysida avait attiré l’attention pour la première fois après avoir divulgué des documents volés à l’armée chilienne (Ejército de Chile) sur son site de fuite de données.

À l’époque, une analyse préliminaire du chiffreur Rhysida par SentinelOne a montré que le ransomware en était à ses débuts, manquant des fonctionnalités standard observées dans la plupart des souches comme les mécanismes de persistance, l’effacement de Volume Shadow Copy, l’arrêt du processus, etc.

« Il s’agit d’une alerte automatisée de l’équipe de cybersécurité Rhysida », lit-on dans la note de rançon de Rhysida.

« Une situation malheureuse s’est produite – votre écosystème numérique a été compromis et une quantité importante de données confidentielles a été exfiltrée de votre réseau. »

Note de rançon Rhysida

Rhysida cible les organisations de santé
Alors que certaines opérations de ransomware prétendent ne pas cibler intentionnellement les organisations de santé et même fournir des clés de déchiffrement gratuites si elles sont faites par erreur, Rhysida ne semble pas suivre la même politique.

Le site de fuite de données Web sombre Rhysida répertorie une organisation de soins de santé en Australie, leur donnant une semaine pour payer une rançon avant que les données volées ne soient divulguées.

Site de fuite de données du dark web Rhysida

Un bulletin publié la semaine dernière par le département américain de la Santé et des Services sociaux (HHS) a averti que si Rhysida utilise toujours un casier élémentaire, l’ampleur de ses activités a atteint des proportions dangereuses, et récemment, les acteurs de la menace ont démontré qu’ils se concentraient sur les soins de santé. et secteur public.

« Ses victimes sont réparties dans plusieurs pays d’Europe occidentale, d’Amérique du Nord, d’Amérique du Sud et d’Australie », lit-on dans le bulletin du HHS.

« Ils attaquent principalement les secteurs de l’éducation, du gouvernement, de la fabrication, de la technologie et des fournisseurs de services gérés ; cependant, il y a eu des attaques récentes contre le secteur des soins de santé et de la santé publique (HPH) ».

Des sources ont déclaré à Breachtrace que Rhysida est à l’origine d’une récente cyberattaque contre Prospect Medical Holdings, qui connaît toujours une panne à l’échelle du système affectant 17 hôpitaux et 166 cliniques à travers les États-Unis.

Cependant, Rhysida n’a pas encore assumé la responsabilité de l’attaque, et PMH n’a pas répondu aux e-mails indiquant si le gang de ransomwares est derrière l’attaque.

Un rapport de Trend Micro publié aujourd’hui se concentre sur la chaîne d’attaque Rhysida la plus couramment observée, expliquant que le groupe de menaces utilise des e-mails de phishing pour obtenir un accès initial, puis déploie des scripts Cobalt Strike et PowerShell, et finalement abandonne le casier.

Une observation intéressante des analystes de Trend Micro est que les scripts PowerShell utilisés par les opérateurs Rhysida mettent fin aux processus AV, suppriment les clichés instantanés et modifient les configurations RDP, indiquant le développement actif du casier.

Un chiffreur de ransomware lui-même gère généralement ces tâches, mais pour l’opération Rhysida, il utilise des scripts externes pour atteindre les mêmes objectifs.

La dernière chaîne d’attaque de Rhysida

Le rapport de Cisco Talos confirme que le casier Rhysida le plus récent utilise une clé RSA de 4096 bits avec l’algorithme ChaCha20 pour le chiffrement des fichiers et exclut désormais plusieurs répertoires ainsi que les types de fichiers suivants :

Répertoires exclus du chiffrement

Le rapport de CheckPoint va encore plus loin, reliant Rhysida à l’opération de rançongiciel Vice Society, aujourd’hui disparue, sur la base des heures de publication des victimes sur les deux sites d’extorsion et de leurs modèles de ciblage similaires.

Comparaison du changement d’activité dans Vice Society et Rhysida

En conclusion, Rhysida s’est rapidement imposé dans l’espace des rançongiciels, ciblant des organisations de divers secteurs et n’hésitant pas à attaquer les hôpitaux.

Bien que le RaaS ait semblé aller trop vite en termes d’opérations alors que l’aspect technique était à la traîne, les développements sur ce front montrent que le casier rattrape son retard.