rhysida - RunkIntel

# Rhysida - Ransomware RaaS com Foco em Saúde e Governo > **ATIVO | Ransomware RaaS | Windows + Linux | Global/LATAM** - Rhysida e um grupo de ransomware como servico (RaaS) surgido em maio de 2023, rapidamente identificado pelo FBI, CISA e MS-ISAC em advisory conjunto. Com semelancas operacionais ao Vice Society, o grupo alvejá oportunisticamente educação, saúde, governo, manufatura e tecnologia - incluindo vitimas na América Latina desde seu lancamento. ## Visão Geral **Rhysida** emergiu em maio de 2023, com a primeira observacao do portal de suporte a vitimas via TOR em 17 de maio de 2023. Em novembro de 2023, FBI, CISA e MS-ISAC emitiram advisory conjunto (#StopRansomware: Rhysida) com IoCs e TTPs. O grupo opera como RaaS com modelo de divisao de lucros entre operadores e afiliados. Uma das primeiras vitimas de alto perfil foi o **Exercito Chileno** (Ejercito de Chile), demonstrando apetite por alvos governamentais na América Latina desde o inicio das operações. O grupo também atacou o Singing River Health System e Prospect Medical Holdings (healthcare EUA). | Campo | Detalhe | |-------|---------| | **Tipo** | Ransomware RaaS | | **Criptografia** | RSA 4096-bit + ChaCha20 (hibrido) | | **Extensao** | `.rhysida` nos arquivos cifrados | | **Nota de resgaté** | `CriticalBreachDetected` (PDF) | | **Primeira observacao** | Maio 2023 | | **Status** | Ativo - campanhas documentadas 2024-2025 | | **Relacionado a** | Vice Society (DEV-0832) - semelancas operacionais | ## Como Funciona ### Vetores de Acesso Inicial Rhysida utiliza duas abordagens primarias para acesso inicial: 1. **Credenciais comprometidas via VPN/RDP**: Afiliados adquirem credenciais de Initial Access Brokers (IABs) ou exploram ausência de MFA em VPNs e RDPs expostos. A exploração do **CVE-2020-1472 (Zerologon)** também foi documentada para escalada de privilegios. 2. **Phishing**: E-mails com links ou anexos maliciosos que, quando abertos, deployam Cobalt Strike como framework de C2 inicial. ### Técnicas de Persistência e Movimentação - Scheduled Task nomeada `"Rhsd"` apontando para o payload, executada no startup do sistema - Uso de RDP, WinRM e PsExec para movimentação lateral - AnyDesk para acesso remoto persistente - Comandos `ipconfig`, `whoami`, `nltest`, `nltest /dclist`, múltiplos comandos `net` para reconhecimento de dominio e usuarios ```mermaid graph TB A["🎯 Acesso Inicial Credenciais VPN/RDP compradas Phishing T1566 + Cobalt Strike"] A --> B["🔐 Exploração Zerologon CVE-2020-1472 Escalada de privilegios DC"] B --> C["🔍 Reconhecimento nltest / ipconfig / net cmds T1016 / T1033 / T1482"] C --> D["📤 Exfiltração de dados Dupla extorsao T1657 Cobalt Strike / Chisel"] D --> E["🔒 Deploy Rhysida Scheduled Task T1053.005 RSA-4096 + ChaCha20"] E --> F["🚫 Inibicao de recuperacao Volume Shadow Copies deletados T1490 / T1562.001"] F --> G["💰 Resgaté via TOR PDF CriticalBreachDetected Pagamento em Bitcoin"] classDef initial fill:#e74c3c,color:#fff classDef escalaté fill:#e67e22,color:#fff classDef recon fill:#f39c12,color:#fff classDef exfil fill:#3498db,color:#fff classDef ransomware fill:#9b59b6,color:#fff classDef impact fill:#2c3e50,color:#fff class A initial class B escalaté class C recon class D exfil class E ransomware class F impact class G impact ``` ## Timeline ```mermaid timeline title Rhysida - Linha do Tempo 2023-05 : Portal TOR de suporte a vitimas observado 2023-06 : Exercito Chileno comprometido - LATAM 2023-08 : HHS alerta setor de saude dos EUA 2023-11 : Advisory conjunto FBI + CISA + MS-ISAC 2023-11 : Singing River Health System atacado 2024 : Expansao de vitimas - educacao e manufatura 2024 : Afiliados usando SystemBC como backdoor favorito 2025 : Campanhas ativas em multiplas regioes ``` ## TTPs MITRE ATT&CK | Tática | Técnica | Uso Específico | |--------|---------|----------------| | Acesso Inicial | [[t1078-valid-accounts\|T1078]] | Credenciais compradas de IABs para VPN | | Acesso Inicial | [[t1566-phishing\|T1566]] | E-mails phishing - lure para deploy Cobalt Strike | | Persistência | [[t1053-005-scheduled-task\|T1053.005]] | Scheduled Task "Rhsd" executada no startup | | Movimento Lateral | [[t1021-001-rdp\|T1021.001]] | RDP para movimentação lateral interna | | Movimento Lateral | T1021.004 | SSH via PuTTy para conexoes remotas | | Descoberta | [[t1482-domain-trust-discovery\|T1482]] | `nltest /dclist` para mapeamento de dominio | | Descoberta | [[t1016-system-network-configuration-discovery\|T1016]] | `ipconfig` para mapeamento de rede | | Descoberta | [[t1033-system-owner-user-discovery\|T1033]] | `whoami` para identificação de usuario | | Evasão | [[t1562-001-disable-windows-defender\|T1562.001]] | Desabilitacao de AV antes da criptografia | | Exfiltração | [[t1041-exfiltration-over-c2-channel\|T1041]] | Dados exfiltrados via Cobalt Strike | | Impacto | [[t1486-data-encrypted-for-impact\|T1486]] | RSA-4096 + ChaCha20 criptografa arquivos | | Impacto | [[t1490-inhibit-system-recovery\|T1490]] | Deleta Volume Shadow Copies | | Impacto | [[t1657-financial-theft\|T1657]] | Dupla extorsao - pública dados se nao pagar | ## Relevância LATAM e Brasil Rhysida tem presenca documentada na América Latina desde seu primeiro mes de operação: - **Chile (jun/2023)**: O Ejercito de Chile foi uma das primeiras vitimas, com dados militares vazados. Isso demonstra apetite por alvos governamentais latino-americanos de alto perfil. - **Perfil de vitimas LATAM**: O grupo nao tem restricoes geograficas de targeting - qualquer organização de saúde, educação ou governo na América Latina e potencial alvo. - **Setor de saúde brasileiro**: Hospitais brasileiros já sofreram ataques de ransomware com perfil similar. A ausência documentada de vitimas brasileiras nao implica imunidade - o modelo RaaS distribui afiliados globalmente. - **[[s0533-systembc|SystemBC]] como co-ferramenta**: O Kroll documentou que o Rhysida favorece SystemBC como backdoor - malware com 10.000+ infeccoes globais inclunido potencialmente sistemas brasileiros. Recomendação prioritaria: organizacoes de saúde e governo brasileiras devem implementar MFA em VPNs e RDPs como primeira linha de defesa contra o modelo de acesso inicial do Rhysida. ## Detecção - Monitorar criação de Scheduled Task com nome "Rhsd" ou variantes - Alertar sobre uso de `nltest /dclist` por usuarios nao-privilegiados - Detectar delecao em massa de Volume Shadow Copies (via `vssadmin` ou `wmic shadowcopy delete`) - Monitorar AnyDesk sendo instalado em servidores sem justificativa - Identificar Cobalt Strike beacon (user-agent e pattern de beaconing caracteristicos) - Implementar honeypot de arquivos para detectar tentativas de criptografia precocemente ## Relacoes - [[vice-society|Vice Society]] - grupo com semelancas operacionais documentadas - [[s0154-cobalt-strike|Cobalt Strike]] - framework C2 utilizado nas campanhas - [[s0533-systembc|SystemBC]] - backdoor favorito dos afiliados Rhysida - [[healthcare|saúde]], [[education|educação]], [[government|governo]] - setores primariamente atingidos - Chile, EUA, Reino Unido - paises com vitimas documentadas ## Referências - [1] [FBI + CISA + MS-ISAC - #StopRansomware: Rhysida (nov/2023)](https://www.ic3.gov/CSA/2023/231115.pdf) - [2] [HHS HC3 - Rhysida Ransomware Sector Alert (ago/2023)](https://www.hhs.gov/sites/default/files/rhysida-ransomware-sector-alert-tlpclear.pdf) - [3] [Picus Security - Rhysida Ransomware TTPs Explained](https://www.picussecurity.com/resource/blog/rhysida-ransomware-explained) - [4] [Kroll - Inside The SYSTEMBC Malware Server (2024)](https://www.kroll.com/en/publications/cyber/inside-the-systembc-malware-server)