# Rhysida Ransomware > Tipo: **ransomware RaaS** - Ativo desde maio de 2023 - [CISA Advisory AA23-319A](https://www.ic3.gov/CSA/2023/231115.pdf) > [!danger] Ameaça Documentada ao Exercito Chileno e Healthcare LATAM > O Rhysida atacou o Exercito Chileno em 2023, comprometendo documentos militares sensiveis que foram posteriormente vazados. O grupo tem presenca documentada em América do Sul e Australia, com foco em educação, governo e saúde. Relacionado ao extinto Vice Society. ## Visão Geral [[rhysida-ransomware|Rhysida]] e um ransomware-as-a-service emergente identificado pela primeira vez em 17 de maio de 2023. O grupo ganhou notoriedade imediata ao atacar o **Exercito Chileno**, comprometendo documentos militares que foram posteriormente vazados em seu site de extorsao na dark web. O Rhysida opera com modelo de **dupla extorsao** - criptografia com RSA-4096/ChaCha20 + ameaça de públicacao de dados roubados - e entrega notas de resgaté em formato PDF (uma caracteristica distintiva). Pesquisadores identificaram **sobreposicao significativa** entre o Rhysida e o [[vice-society|Vice Society]] (DEV-0832) - um grupo que anteriormente focava em educação e saúde. As similaridades incluem setores-alvo, TTPs e possívelmente infraestrutura. A teoria predominante e que o Vice Society passou a operar o Rhysida como nova identidade ou que membros migraram para o novo grupo. O Rhysida e técnicamente menos sofisticado que grupos como ALPHV ou LockBit, mas sua velocidade de operação e disposicao em atacar setores sensiveis (incluindo militares de governos estrangeiros) o tornam uma ameaça significativa. A vulnerabilidade **CVE-2020-1472 (Zerologon)** foi explorada em pelo menos um incidente documentado pela CISA para obtencao de privilegios. **Plataformas:** Windows ## Como Funciona O Rhysida emprega uma cadeia de ataque baseada em phishing e movimento lateral com ferramentas nativas: 1. **Acesso inicial por phishing:** Emails de phishing distribuem o payload inicial ([[t1566-phishing|T1566]]) ou o grupo utiliza credenciais válidas comprometidas ([[t1078-valid-accounts|T1078]]) para acessar VPNs sem MFA ([[t1133-external-remote-services|T1133]]) 2. **Deploy de Cobalt Strike:** Após acesso inicial, deploy de [[s0154-cobalt-strike|Cobalt Strike]] ou SystemBC para C2 persistente 3. **Living off the Land:** Uso de ferramentas nativas do Windows - `ipconfig` (T1016), `whoami` (T1033), `nltest` (T1482), comandos `net` via PowerShell ([[t1059-001-powershell|T1059.001]]) para reconhecimento de AD 4. **Movimento lateral via RDP e SSH:** Conexoes RDP ([[t1021-001-remote-desktop-protocol|T1021.001]]) e PuTTy SSH ([[t1021-004-ssh|T1021.004]]) para movimentação lateral 5. **Acesso remoto com AnyDesk:** Uso de AnyDesk ([[t1219-remote-access-software|T1219]]) para manutenção de acesso fora da banda 6. **Criptografia RSA-4096/ChaCha20:** Nota de resgaté PDF ("CriticalBreachDetected"), extensao `.rhysida` adicionada, registro modificado ([[t1112-modify-registry|T1112]]) 7. **Extorsao dupla:** Ameaça de públicacao + demanda Bitcoin ([[t1657-financial-theft|T1657]]) ```mermaid graph TB A["Phishing inicial T1566<br/>ou VPN sem MFA<br/>Credenciais válidas T1078"] --> B["Cobalt Strike / SystemBC<br/>C2 estabelecido<br/>Reconhecimento de AD"] B --> C["Living off the Land<br/>nltest / net / whoami<br/>PowerShell T1059.001"] C --> D["Movimento lateral<br/>RDP T1021.001<br/>SSH PuTTy T1021.004"] D --> E["AnyDesk instalado<br/>Acesso remoto persistente<br/>T1219 - fora de banda"] E --> F["Exfiltração de dados<br/>Extorsao dupla garantida<br/>Site dark web preparado"] F --> G["Rhysida payload<br/>RSA-4096 + ChaCha20<br/>Nota PDF CriticalBreachDetected"] classDef access fill:#e74c3c,color:#fff classDef c2 fill:#8e44ad,color:#fff classDef recon fill:#27ae60,color:#fff classDef lateral fill:#2980b9,color:#fff classDef remote fill:#e67e22,color:#fff classDef exfil fill:#c0392b,color:#fff classDef encrypt fill:#2c3e50,color:#fff class A access class B c2 class C recon class D lateral class E remote class F exfil class G encrypt ``` ## Timeline ```mermaid timeline title Rhysida - Historico Mai 2023 : Rhysida identificado pela primeira vez : Site dark web de suporte a vitimas no Tor Jun 2023 : Ataque Exercito Chileno - documentos vazados Ago 2023 : DHHS alerta setor saude sobre Rhysida : Ligacao com Vice Society confirmada por pesquisadores Nov 2023 : Advisory conjunto FBI/CISA/MS-ISAC : Prospect Medical Holdings e Singing River atacados 2024 : Expansao para America do Sul e Australia : Foco crescente no setor saude 2025 : Rhysida continua ativo com novos afiliados ``` ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Initial Access | [[t1566-phishing\|T1566]] | Phishing | | Initial Access | [[t1078-valid-accounts\|T1078]] | Valid Accounts (VPN sem MFA) | | Initial Access | [[t1133-external-remote-services\|T1133]] | External Remote Services | | Execution | [[t1059-001-powershell\|T1059.001]] | PowerShell | | Lateral Movement | [[t1021-001-remote-desktop-protocol\|T1021.001]] | RDP | | Lateral Movement | [[t1021-004-ssh\|T1021.004]] | SSH PuTTy | | C2 | [[t1219-remote-access-software\|T1219]] | AnyDesk | | Defense Evasion | [[t1112-modify-registry\|T1112]] | Modify Registry | | Impact | [[t1486-data-encrypted-for-impact\|T1486]] | RSA-4096 + ChaCha20 | | Impact | [[t1657-financial-theft\|T1657]] | Extorsao dupla | ## Relevância LATAM/Brasil O [[rhysida-ransomware|Rhysida]] representa ameaça direta a América Latina, com o ataque ao **Exercito Chileno** como caso mais prominente na regiao. O governo de **Martinica** (territorio frances nas Caraibas) também foi vitima, demonstrando disposicao em atacar organizacoes governamentais latino-americanas. O grupo distribui vitimas em "varios paises da América do Norte e do Sul" segundo a CISA. A relacao com o [[vice-society|Vice Society]] e relevante para o contexto brasileiro: o Vice Society tinha foco historico em **educação e saúde**, ambos setores com alta presenca pública no Brasil. Universidades federais brasileiras, hospitais de ensino e secretarias de saúde estaduais se enquadram exatamente no perfil de alvos preferidos do grupo. A combinacao de sistemas legados, pouca maturidade em segurança e dados de saúde de alto valor cria ambiente propicio. **Setores impactados:** [[government|governo]] - [[healthcare|saúde]] - [[education|educação]] - [[manufacturing|manufatura]] ## Detecção - Habilitar MFA em todas as VPNs - o vetor mais documentado do Rhysida e autenticação em VPN com credenciais válidas sem segundo fator - Monitorar uso de PuTTy SSH para movimentação lateral entre servidores internos - Detectar criação de arquivos `CriticalBreachDetected.pdf` em múltiplos diretorios - indicador imediato de infecção ativa - Alertar para instalacao de AnyDesk por contas nao-administrativas ```sigma title: Rhysida Ransom Note Creation status: stable logsource: category: file_event product: windows detection: selection: TargetFilename|endswith: - 'CriticalBreachDetected.pdf' - '.rhysida' condition: selection level: critical tags: - attack.impact - attack.t1486 - code/distill ``` ## Referências - [1](https://www.ic3.gov/CSA/2023/231115.pdf) FBI/CISA/MS-ISAC - StopRansomware Rhysida Advisory (2023) - [2](https://www.hhs.gov/sites/default/files/rhysida-ransomware-sector-alert-tlpclear.pdf) HHS HC3 - Rhysida Ransomware Healthcare Alert (2023) - [3](https://www.quorumcyber.com/wp-content/uploads/2023/11/Quorum-Cyber_Rhysida-Ransomware-Report.pdf) Quorum Cyber - Rhysida Threat Intelligence Report (2023) - [4](https://assets.kpmg.com/content/dam/kpmgsites/in/pdf/2023/09/kpmg-ctip-rhysida-ransomware-26-sep-2023.pdf.coredownload.inline.pdf) KPMG - Rhysida Ransomware CTI Advisory (2023) - [5](https://www.aha.org/system/files/media/file/2023/08/hc3-tlp-clear-sector-alert-rhysida-ransomware-8-4-23.pdf) HHS HC3 - Rhysida Sector Alert (2023)