rhysida - RunkIntel

# Rhysida > [!warning] **Rhysida** é um grupo de ameaça atribuído a **Suspeito Russofono** ativo desde **2023**. ## Visão Geral **Rhysida** e um grupo de ransomware-as-a-service (RaaS) ativo desde maio de 2023. O grupo ganhou notoriedade por ataques de alto perfil contra organizacoes de saúde, educação e governo, com um modelo de extorsao que inclui tanto ameaça de vazamento quanto **leilao de dados roubados** para compradores únicos no dark web. O malware Rhysida usa criptografia **RSA-4096 com AES-CTR** e deposita uma nota de resgaté denominada `CriticalBreachDetected.pdf` nas pastas afetadas. A nota apresenta o grupo como uma "equipe de cibersegurança" que identificou vulnerabilidades na rede da vitima - uma tática psicológica incomum. O grupo tem conexoes suspeitas com o **Vice Society**, grupo russo-falante que declinou ao mesmo tempo que o Rhysida emergiu com técnicas e alvos similares. Como de marco de 2025, o grupo listou cerca de **169 vitimas** no seu site de vazamento. ## Timeline - Crescimento e Vitimas de Alto Perfil ```mermaid timeline title Rhysida - Cronologia de Atividade Mai 2023 : Primeira observacao com portal de vitimas no TOR : Ataque ao Exercito Chileno Ago 2023 : HHS alerta setor de saude dos EUA : Prospect Medical Holdings comprometida Nov 2023 : CISA/FBI/MS-ISAC advisory : 91 vitimas no leak site Dez 2023 : Insomniac Games comprometida : Dados do Marvel Wolverine vazados Fev 2024 : Ann Lurie Childrens Hospital comprometida : Dados vendidos por 3,4M USD Jul 2024 : Cidade de Columbus Ohio - 3TB vazados : Resgaté de 1,7M USD (30 BTC) exigido 2025 : Actividade continua em saude e financeiro EUA : CleanUpLoader como novo vetor de acesso ``` > [!danger] Leilao de Dados de Saúde - Tática Distintiva > O Rhysida **leiloa dados roubados** para um único comprador no dark web em vez de simplesmente vazar. Dados da criancas hospitalizadas, registros de saúde mental e documentos pessoais foram vendidos por valores de até **US$3,4 milhões** (caso Lurie Children's Hospital). Isso maximiza o impacto financeiro e complica a resposta das vitimas. > [!info] Possível Origem no Vice Society > Pesquisadores de segurança identificaram fortes similitudes entre o Rhysida e o **Vice Society** (DEV-0832), grupo que atuou ativamente em 2021-2022 com foco semelhante em educação e saúde. O Vice Society declinou ao mesmo tempo que o Rhysida emergiu, sugerindo um rebranding ou redistribuição de operadores. CISA/FBI documentaram a sobreposicao em advisory conjunto. > [!warning] CleanUpLoader - Novo Vetor 2025 > Em 2025, o Rhysida adotou o **CleanUpLoader** (também conhecido como OysterLoader/Broomstick) entregue via **malvertising e downloads falsos** de software como Microsoft Teams e PuTTY. O malware usa código assinado para parecer legitimo e e uma evolução significativa do vetor inicial de phishing. ## Attack Flow - RaaS com Foco em Saúde e Educação ```mermaid graph TB A["🎣 Acesso Inicial Phishing + VPN comprometida CleanUpLoader via malvertising"] --> B["🔧 C2 e Pos-Comprometimento Cobalt Strike beacons AnyDesk / WinRM via SILENTKILL"] B --> C["🔍 Discovery e Lateral Movement PsExec + credenciais RDP Enumeracao de AD"] C --> D["🛡️ Evasão SILENTKILL - termina AV Deleta shadow copies"] D --> E["📤 Exfiltração Dados sensíveis de saude Pacientes e funcionários"] E --> F["🔐 Rhysida Ransomware RSA-4096 + AES-CTR Nota CriticalBreachDetected.pdf"] classDef access fill:#c0392b,color:#fff,stroke:#922b21 classDef c2 fill:#1a5276,color:#fff,stroke:#154360 classDef lateral fill:#e67e22,color:#fff,stroke:#d35400 classDef evasion fill:#8e44ad,color:#fff,stroke:#6c3483 classDef exfil fill:#196f3d,color:#fff,stroke:#145a32 classDef ransom fill:#2c3e50,color:#fff,stroke:#1a252f class A access class B c2 class C lateral class D evasion class E exfil class F ransom ``` ## Campanhas e Vitimas de Destaque ### Exercito Chileno (Maio 2023) Primeiro ataque de grande repercussao do Rhysida. O grupo obteve acesso via phishing e vazou aproximadamente **30% dos documentos** alegadamente roubados do exercito. Levantou preocupacoes sobre impactos geopoliticos na América do Sul. ### Prospect Medical Holdings (Agosto 2023) Comprometeu uma rede de **17 hospitais e 166 clinicas** nos EUA. O grupo exfiltrou 1,3 TB de bancos de dados SQL e 1 TB de documentos adicionais. Funcionarios tiveram que reverter a processos em papel, impactando o aténdimento. ### Lurie Children's Hospital (Fevereiro 2024) Ataque contra hospital pediatrico de alto perfil em Chicago. O Rhysida tentou vender os dados roubados por **30 BTC (~$3,4 milhões)**. A nota "Dados Vendidos" apareceu no leak site quando o pagamento nao foi recebido. ### Insomniac Games (Dezembro 2023) Comprometimento do estudio de games da Sony. Dados vazados incluiam documentos internos de RH, passaportes de funcionarios e detalhes nao anunciados do jogo Marvel's Wolverine - impacto massivo em propriedade intelectual. ### City of Columbus, Ohio (Julho 2024) Mais de 3 TB de dados vazados após rejeicao do resgaté de US$1,7 milhao (30 BTC). ## Arsenal e Ferramentas - **Rhysida Ransomware** - RSA-4096 + AES-CTR, nota CriticalBreachDetected.pdf - **Cobalt Strike** - Framework de C2 primario - **SILENTKILL** - Script PowerShell que termina processos AV, deleta shadow copies e modifica senhas do AD - **SystemBC** - Backdoor proxy para C2 adicional - **AnyDesk** - Software de acesso remoto para persistência - **CleanUpLoader (OysterLoader/Broomstick)** - Loader moderno via malvertising (2025) - **PsExec** - Execução remota e movimento lateral ## Técnicas (TTPs) - **T1566** - Phishing como vetor inicial primario - **T1566.002** - Spearphishing via malvertising (CleanUpLoader) - **T1059.001** - PowerShell (SILENTKILL) - **T1490** - Delecao de shadow copies para inibir recuperacao - **T1098** - Modificacao de senhas via AD (SILENTKILL) - **T1021.001** - RDP para movimento lateral - **T1486** - Data Encrypted for Impact (RSA-4096 + AES-CTR) - **T1657** - Financial Theft via dupla extorsao e leilao **Técnicas MITRE referênciadas:** [[t1566-phishing|T1566]] · [[t1490-inhibit-system-recovery|T1490]] · [[t1486-data-encrypted-for-impact|T1486]] ## Relevância LATAM O Rhysida **atacou o Exercito Chileno** em 2023, estabelecendo precedente de ataque a ativos militares latinoamericanos. A distribuição geografica do grupo inclui a América do Sul como zona de atividade confirmada. No Brasil, os setores mais vulneraveis com base no perfil de vitimas do grupo: - **Saúde** - Hospitais privados e redes de saúde com grandes bases de dados de pacientes - **Educação** - Universidades e instituicoes de ensino superior - **Governo** - Orgaos públicos com dados sensiveis de cidadaos A tática de **leilao de dados de pacientes** e especialmente ameaçadora em um contexto de LGPD brasileira, onde a exposicao de dados de saúde pode resultar em multas regulatorias significativas alem do impacto operacional. ## Detecção e Defesa - Monitorar execução de SILENTKILL (scripts PowerShell que terminam múltiplos processos de AV simultaneamente) - Alertar para criação de arquivos CriticalBreachDetected.pdf - Bloquear acesso nao autorizado a WinRM - Monitorar downloads de binarios de malvertising (Teams/PuTTY falsos) - Verificar integridade de código em instaladores de software corporativo - Implementar MFA em todos acessos VPN e RDP - Auditar modificacoes de senha em contas AD em massa **Mitigação referênciada:** [[m1032-multi-factor-authentication|M1032]] · [[m1049-antivirus-antimalware|M1049]] · [[m1053-data-backup|M1053]] ## Referências - [CISA/FBI/MS-ISAC Advisory - Rhysida Ransomware](https://csirt.cynet.ac.cy/latest-alerts/alerts/stopransomware-rhysida-ransomware/) - [Trend Micro - Rhysida Ransomware Spotlight](https://www.trendmicro.com/vinfo/us/security/news/ransomware-spotlight/ransomware-spotlight-rhysida) - [Barracuda Labs - Rhysida Analysis](https://blog.barracuda.com/2024/05/09/rhysida-ransomware--the-creepy-crawling-criminal-hiding-in-the-d) - [HHS HC3 - Rhysida Sector Alert Healthcare](https://www.hhs.gov/sites/default/files/rhysida-ransomware-sector-alert-tlpclear.pdf) - [BlackFog - Rhysida 2025 Activity](https://www.blackfog.com/rhysida-ransomware-us-breaches-and-mitigation/) **Setores alvejados:** [[healthcare|Saúde]] · [[education|Educação]] · [[government|Governo]] **Atores relacionados:** [[vice-society|Vice Society]]