El equipo de FortiGuard IR ha realizado un análisis exhaustivo de un incidente
que involucró al grupo de ransomware Rhysida, arrojando luz sobre sus
operaciones, tácticas e impacto, incluida una técnica novedosa que involucra
ransomware basado en ESXi. Este ransomware se encuentra activo en América Latina.
El grupo Rhysida fue identificado por primera vez en mayo de 2023, cuando
cobraron su primera víctima. Este grupo implementa una variante de ransomware
conocida como Rhysida y también la ofrece como Ransomware como servicio
(RaaS). El grupo ha enumerado alrededor de 50 víctimas en lo que va de 2023.
Los actores de amenazas abusan de software legítimo como PowerShell para
obtener información sobre usuarios y sistemas dentro de la red, PSExec para
programar tareas y realizar cambios en las claves de registro para mantener la
persistencia, AnyDesk para conexiones remotas y WinSCP para transferencias de
archivos. Los actores de amenazas también intentan extraer datos de varios
sistemas utilizando MegaSync.
El informe también cubre el malware adicional que identificó el equipo
FortiGuard IR, junto con una técnica que no vemos a menudo cuando el grupo
implementó archivos binarios de Windows y Linux.
Restringir el acceso de Veeam solo a máquinas designadas impidió que los
actores de amenazas obtuvieran acceso a los archivos de respaldo. Además, la
gestión prudente de las contraseñas de vSphere fortaleció la defensa de la
víctima.
Se sabe que el grupo de ransomware Rhysida apunta a vSphere y busca
credenciales, por lo que las salvaguardas que implementó la víctima fueron
vitales para prevenir el ransomware generalizado de la infraestructura
virtual.
El informe completo de la investigación sobre Rhysida se puede leer
aquí [PDF].
Fuente: Fortinet
Los comentarios están cerrados.