# PROC - Rhysida: Ataque Ransomware contra Setor de Saúde ## Visão Geral O [[rhysida|Rhysida]] e um grupo de ransomware que emergiu em maio de 2023 e rapidamente se tornou uma das ameaças mais serias ao setor de saúde global. O grupo ficou internacionalmente conhecido após o ataque ao Exercito Chileno (junlho/2023) e ao Inova Health System nos EUA, mas e seu padrao sistematico contra hospitais e redes de saúde que define sua operação. O CISA e o HHS (EUA) emitiram advisory conjunto específicamente sobre Rhysida em healthcare. A escolha deliberada de alvos hospitalares e calculada: sistemas de saúde tem tolerancia minima a downtime (vidas dependem da disponibilidade de prontuarios e sistemas criticos), dados de pacientes tem alto valor no mercado negro (US$250-1000 por registro medico completo), e muitos hospitais - especialmente regionais e públicos - operam com TI subfinanciada e sem capacidade de resposta sofisticada. O grupo explora essa combinacao de urgencia operacional e maturidade defensiva baixa para maximizar a probabilidade de pagamento. O encryptor do Rhysida e desenvolvido em C++ com criptografia ChaCha20 para arquivos e RSA-4096 para proteção da chave simetrica. O grupo opera no modelo de dupla extorsao, com portal de negociacao Tor e site de leak "Rhysida Ransomware". O ransomware funciona como execução direta ou como DLL chamada por `PsExec` - versatilidade que facilita a implantação em redes enterprise via shares administrativos. ## Attack Flow ```mermaid graph TB A["🌐 Exploração VPN/RDP<br/>Credenciais legadas + CVEs"] --> B["🦠 Implante Cobalt Strike<br/>Ou AnyDesk/ScreenConnect"] B --> C["🔑 Dump de Credenciais<br/>LSASS + SAM + DCSync"] C --> D["↔️ Movimento Lateral<br/>PsExec + WMI por SMB"] D --> E["📤 Exfiltração de PHI<br/>Prontuarios e dados de pacientes"] E --> F["🛡️ Desativacao de Defesas<br/>AV/EDR + shadow copies"] F --> G["💀 Deploy Rhysida<br/>Via PsExec em todas as maquinas"] G --> H["🏥 Impacto Operacional<br/>Sistemas clinicos indisponiveis"] ``` ## Passo a Passo ### Fase 1 - Acesso Inicial via Infraestrutura Legada O Rhysida aproveita caracteristicas tipicas de redes hospitalares: acesso remoto VPN com autenticação por usuario/senha sem MFA, RDP exposto na internet em servidores de imagens medicas (PACS), e vulnerabilidades em sistemas legados que não recebem patches (equipamentos medicos com Windows 7/8 embarcado). Vetores primarios confirmados em incidentes: - Credenciais VPN compradas em mercados underground (preco medio: US$200-500) - Exploração de Citrix Netscaler (CVE-2023-4966 - Citrix Bleed) ([[t1190-exploit-public-facing-application|T1190]]) - Phishing direcionado a funcionarios da area administrativa hospitalar - Acesso via fornecedores terceiros com acesso remoto ao ambiente (supply chain) ### Fase 2 - Estabelecimento de Foothold e Ferramentas RAT Após acesso inicial, o grupo frequentemente implanta ferramentas de acesso remoto comerciais para persistência antes de acionar o processo de ransomware: ``` AnyDesk / ScreenConnect → acesso persistente sem detecção por AV Cobalt Strike Beacon → C2 avancado para operações prolongadas SystemBC → proxy SOCKS5 para tunelar trafego C2 ``` A preferência por ferramentas RAT comerciais (AnyDesk, TeamViewer) e deliberada: sao ferramentas em whitelist na maioria das organizacoes de saúde, pois sao usadas legitimamente por suporte de TI. ### Fase 3 - Escalada de Privilegios e Dump de Credenciais Com foothold estabelecido, o grupo escala para privilegios administrativos usando: ``` # Dump de LSASS via comsvcs.dll (built-in Windows) rundll32.exe C:\Windows\System32\comsvcs.dll MiniDump LSASS_PID lsass.dmp full # Ou via Task Manager (menos detecção) # Acoes via ProcDump da Sysinternals # DCSync via Mimikatz para obter hashes de todos os usuarios do dominio sekurlsa::logonpasswords lsadump::dcsync /domain:hospital.local /all ``` O dump de credenciais ([[t1003-001-lsass-memory|T1003.001]]) permite ao grupo obter hashes NT de contas de servico e administradores de dominio, habilitando movimento lateral sem necessidade de quebrar senhas. ### Fase 4 - Movimento Lateral em Rede Hospitalar A estrutura de rede de hospitais tipicamente tem segmentacao insuficiente entre sistemas clinicos e administrativos. O grupo usa [[s0154-cobalt-strike|Cobalt Strike]] ou ferramentas nativas (PsExec, WMI) para se mover lateralmente: ```bash # PsExec para execução remota em multiplos hosts PsExec.exe \\SERVIDOR-PRONTUARIO -u admin -p senha cmd.exe # WMI para execução sem criar servico (menor ruido) wmic /node:SERVIDOR-IMAGENS process call creaté "cmd.exe /c whoami" ``` Alvos prioritarios em hospitais: servidor de prontuarios eletronicos (EHR/EMR como MV, TASY, Healthix), servidor PACS (imagens medicas), AD (domain controller), servidor de backup. ### Fase 5 - Exfiltração de Dados de Saúde (PHI) Antes de criptografar, o grupo exfiltra dados de pacientes (PHI - Protected Health Information) que valem especialmente para dupla extorsao ([[t1567-002-exfiltration-to-cloud-storage|T1567.002]]). Dados buscados: - Prontuarios medicos completos (historico clinico, diagnosticos, medicacoes) - Dados cadastrais com CPF, plano de saúde, dados financeiros - Resultados de exames e imagens diagnosticas - Dados de funcionarios (folha de pagamento, contratos) A exfiltração usa ferramentas como WinSCP, rclone ou simplesmente `curl` para upload em etapas para servidores sob controle do grupo. ### Fase 6 - Preparação e Deploy do Encryptor Imediatamente antes do deploy, o grupo desativa mecanismos de recuperacao: ```batch REM Deletar shadow copies para impedir restauração vssadmin delete shadows /all /quiet wmic shadowcopy delete REM Desativar Windows Defender via registro reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" /v DisableAntiSpyware /t REG_DWORD /d 1 /f REM Parar servicos de backup net stop "Volume Shadow Copy" net stop "Windows Backup" ``` O encryptor Rhysida e distribuido via PsExec ou GPO comprometida para todos os endpoints do dominio simultaneamente, maximizando o impacto. ## TTPs Mapeados | Fase | Técnica MITRE | Descrição | |------|--------------|-----------| | Acesso Inicial | [[t1190-exploit-public-facing-application\|T1190]] | Citrix Bleed / VPN sem MFA | | Acesso Inicial | [[t1078-valid-accounts\|T1078]] | Credenciais compradas underground | | Persistência | [[t1219-remote-access-software\|T1219]] | AnyDesk/ScreenConnect como RAT | | Escalada | [[t1003-001-lsass-memory\|T1003.001]] | Dump de LSASS para credenciais | | Escalada | [[t1003-006-dcsync\|T1003.006]] | DCSync para hashes de dominio | | Movimentação | [[t1021-002-smb-windows-admin-shares\|T1021.002]] | PsExec via shares administrativos | | Movimentação | [[t1047-windows-management-instrumentation\|T1047]] | WMI para execução remota | | Exfiltração | [[t1567-002-exfiltration-to-cloud-storage\|T1567.002]] | Rclone/WinSCP para C2 externo | | Evasão | [[t1490-inhibit-system-recovery\|T1490]] | Delecao de shadow copies | | Evasão | [[t1562-001-disable-windows-defender\|T1562.001]] | Desativacao de AV/EDR | | Impacto | [[t1486-data-encrypted-for-impact\|T1486]] | Criptografia massiva com ChaCha20+RSA | ## Detecção **Fonte de dados:** Windows Event Logs, EDR, Sysmon, AD audit logs, network flow data. **Deteccoes criticas:** | Indicador | Severidade | Fonte | |-----------|-----------|-------| | `vssadmin delete shadows` executado | Critica | Sysmon Event 1 / EDR | | LSASS acessado por processo nao-sistema | Critica | EDR Behavioral / Sysmon 10 | | PsExec executando em > 10 hosts em < 5min | Critica | EDR / SIEM correlação | | AnyDesk instalado em servidor clinico | Alta | Software inventory / EDR | | Uploads de multi-GB para IPs externos | Alta | Firewall / NDR | | Conta de servico fazendo DCSync fora de DC | Critica | AD audit log (Event 4662) | ## Contexto Brasil/LATAM O setor de saúde brasileiro e especialmente vulnerável ao Rhysida e grupos similares. O Sistema Único de Saúde (SUS) opera com orcamentos TI cronicamente insuficientes, e hospitais públicos frequentemente não tem capacidade de resposta a incidentes sofisticada. O Brasil registrou múltiplos ataques a hospitais por ransomware em 2023-2024, com interrupco de aténdimentos cirurgicos e de emergência em casos documentados. A LGPD (Lei Geral de Proteção de Dados) criou exposição legal adicional para instituicoes de saúde brasileiras vitimas de ransomware: alem do impacto operacional, ha obrigação de notificação a ANPD dentro de 72 horas para incidentes com dados pessoais de saúde - dados sensiveis segundo a LGPD. Esse prazo curto de notificação aumenta a pressão sobre vitimas e pode ser explorado pelo grupo para exigir pagamento antes da notificação regulatória. No contexto LATAM, hospitais públicos no Mexico, Colombia e Argentina também foram alvos de grupos ransomware similares em 2024. A falta de recursos para backup offsite isolado e a dependência de sistemas EHR sem redundancia adequada tornam o setor de saúde LATAM um alvo de alta probabilidade de pagamento para grupos ransomware. ## Referências - [CISA/HHS Advisory AA23-319A — Rhysida Ransomware](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-319a) - [HHS HC3 — Rhysida Threat Profile Healthcare](https://www.hhs.gov/sites/default/files/rhysida-ransomware-analyst-note-tlpclear.pdf) - [Checkpoint Research — Rhysida Technical Analysis](https://research.checkpoint.com/2023/the-rhysida-ransomware-activity-analysis-and-ties-to-vice-society/) - [Microsoft MSTIC — Rhysida IOCs and TTPs](https://www.microsoft.com/en-us/security/blog/2023/08/03/rhysida-ransomware-threat-analysis/) - [ANPD — Guia de Resposta a Incidentes de Dados Pessoais](https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/documentos-de-publicacoes/guia-de-resposta-a-incidentes-de-segurança)