Análisis técnico del ransomware Rhysida
El equipo de FortiGuard IR ha realizado un análisis exhaustivo de un incidente que involucró al grupo de ransomware Rhysida, arrojando luz sobre sus operaciones, tácticas e impacto, incluida una técnica novedosa que involucra ransomware basado en ESXi. Este ransomware se encuentra activo en América Latina.
El grupo Rhysida fue identificado por primera vez en mayo de 2023, cuando cobraron su primera víctima. Este grupo implementa una variante de ransomware conocida como Rhysida y también la ofrece como Ransomware como servicio (RaaS). El grupo ha enumerado alrededor de 50 víctimas en lo que va de 2023.
Los actores de amenazas abusan de software legítimo como PowerShell para obtener información sobre usuarios y sistemas dentro de la red, PSExec para programar tareas y realizar cambios en las claves de registro para mantener la persistencia, AnyDesk para conexiones remotas y WinSCP para transferencias de archivos. Los actores de amenazas también intentan extraer datos de varios sistemas utilizando MegaSync.
El informe también cubre el malware adicional que identificó el equipo FortiGuard IR, junto con una técnica que no vemos a menudo cuando el grupo implementó archivos binarios de Windows y Linux.
Restringir el acceso de Veeam solo a máquinas designadas impidió que los actores de amenazas obtuvieran acceso a los archivos de respaldo. Además, la gestión prudente de las contraseñas de vSphere fortaleció la defensa de la víctima.
Se sabe que el grupo de ransomware Rhysida apunta a vSphere y busca credenciales, por lo que las salvaguardas que implementó la víctima fueron vitales para prevenir el ransomware generalizado de la infraestructura virtual.
El informe completo de la investigación sobre Rhysida se puede leer aquí [PDF].
Fuente: Fortinet
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!