En el cambiante panorama de amenazas de ciberseguridad, ha surgido un nuevo jugador que preocupa tanto a individuos como a organizaciones. El Buró Federal de Investigaciones (FBI) y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) han emitido una advertencia conjunta sobre la creciente amenaza de los ataques oportunistas del ransomware Rhysida. En esta guía integral, exploraremos las complejidades del ransomware Rhysida, examinaremos incidentes recientes y delinearemos las mejores prácticas para protegerse contra esta amenaza en evolución.
El ransomware es un tipo de malware que cifra los archivos de las víctimas y les exige un rescate para recuperarlos. Se trata de una amenaza cada vez más frecuente y peligrosa, que puede afectar tanto a individuos como a organizaciones de todo tipo y tamaño.
Uno de los grupos de ransomware más recientes y activos es Rhysida, que opera desde mayo de 2023 y se ha enfocado principalmente en los sectores de educación, salud, manufactura, tecnología y gobierno. Rhysida utiliza campañas de phishing y la herramienta de ataque Cobalt Strike para infiltrarse en las redes de sus objetivos y desplegar su carga maliciosa. Además, Rhysida roba datos sensibles de las víctimas y amenaza con publicarlos o venderlos si no pagan el rescate.
Según un informe conjunto del FBI, la CISA y el MS-ISAC, Rhysida funciona como un servicio de ransomware (RaaS), lo que significa que ofrece sus herramientas e infraestructura a otros ciberdelincuentes a cambio de una parte de los beneficios. De esta manera, Rhysida amplía su alcance y su capacidad de daño, al tiempo que se protege de posibles represalias legales.
Rhysida se caracteriza por dejar una nota de rescate en la que se identifica como tal y se dirige a la víctima por su nombre de dominio. La nota incluye un enlace a un sitio web de negociación, donde se muestra la cantidad exigida, que suele oscilar entre 50.000 y 100.000 dólares en criptomonedas. El sitio web también ofrece la posibilidad de descargar un descifrador de prueba y de contactar con los atacantes a través de un chat.
Rhysida ha sido responsable de varios ataques de alto perfil, como el que sufrió la Biblioteca Británica en octubre de 2023 o el ataque a la Dirección General de Migración en Santo Domingo, que causó una interrupción importante de sus servicios informáticos. El grupo se atribuyó la autoría del ataque y publicó imágenes de los archivos de recursos humanos de la biblioteca, que contenían datos personales de los empleados, como pasaportes, formularios de impuestos y contratos.
Te podrá interesar leer: Rhysida expone millones de archivos de Migración
El FBI y CISA alertaron sobre los ataques oportunistas de Rhysida, un ransomware que afecta a diversos sectores. Este grupo, surgido en mayo de 2023, ganó notoriedad tras comprometer al Ejército de Chile y filtrar datos. Recientemente, el Departamento de Salud y Servicios Humanos de EE. UU. advirtió sobre los ataques de Rhysida en el ámbito sanitario.
El aviso conjunto de ciberseguridad proporciona indicadores de compromiso, información de detección y tácticas de Rhysida descubiertas desde septiembre de 2023. Este ransomware, operando como servicio, ha afectado a sectores como educación, salud, manufactura, tecnología y gobierno.
Rhysida ha comprometido organizaciones al atacar servicios remotos externos, aprovechando credenciales robadas y explotando la falta de autenticación multifactor. Además, utiliza ataques de phishing y explota vulnerabilidades como Zerologon (CVE-2020-1472) para escalar privilegios en sistemas Windows.
Mensaje de Extorsión de Rhysida
El FBI y CISA señalan que afiliados del grupo de ransomware Vice Society, rastreado como Vanilla Tempest o DEV-0832 por Microsoft, han adoptado cargas útiles de Rhysida desde julio de 2023, coincidiendo con la inclusión de víctimas en el sitio de fuga de datos de Rhysida.
Te podrá interesar leer: Los 5 Grupos de Ransomware Más Activos en América Latina en 2023
Para evitar ser víctima del ransomware Rhysida, es importante seguir una serie de buenas prácticas de seguridad, tanto a nivel individual como organizacional. Algunas de estas prácticas son:
En caso de sufrir un ataque de ransomware, te recomendamos no pagar el rescate, ya que no hay garantía de que los atacantes cumplan con su promesa de devolver los datos o de eliminarlos de sus servidores. Además, pagar el rescate contribuye a financiar las actividades ilícitas de los ciberdelincuentes y a incentivar futuros ataques. Lo más conveniente es desconectar los dispositivos afectados de la red, preservar las evidencias y reportar el incidente a las autoridades competentes.
Te podrá interesar leer: Evita el Pago de Ransomware: Riesgos del Rescate
El ransomware Rhysida es una amenaza seria y en constante evolución, que requiere de una respuesta coordinada y proactiva por parte de todos los actores involucrados en la seguridad cibernética. Solo así se podrá mitigar el riesgo y reducir el daño que este tipo de malware puede causar a la sociedad.