Rhysida

Rhysida fue observado por primera vez en el horizonte de amenazas en mayo de 2023, ganando notoriedad rápidamente tras conseguir acceso a la red del Ejército de Chile a finales de dicho mes. El grupo, al igual que otros muchos operadores de ransomware, lleva a cabo doble extorsión y opera bajo el modelo de Ransomware como Servicio (Ransomware-as-a-Service – RaaS), lo que les permite extender su alcance mediante su red de afiliados y aumentar las ganancias de forma pasiva.

En cuanto a la afinidad de este grupo, diversos investigadores han indicado que existe una relación de TTPs empleadas entre Rhysida y Vice Society, aunque no existen pruebas fehacientes de que el grupo tenga relación alguna con Vice Society – este grupo está inactivo desde mediados de 2023, justo cuando apareció Rhysida. Por otra parte, aunque el grupo no ha expresado simpatía por ningún país en especial, ninguna de sus víctimas se encuentra en Rusia o en la Comunidad de Estados Independientes (CEI), compuesta por algunos antiguos miembros de la Unión Soviética.

De igual manera que la mayoría de OCG, el factor decisivo a la hora de comprometer una organización es el oportunismo, no tienen una preferencia clara ni motivación más allá de la económica, siendo el sector salud uno de sus objetivos más recurrentes junto con el financiero. A finales de 2023 sus estadísticas indicaban un 31% de ataques contra Estados Unidos y un 51% de ataques contra el sector “servicios a negocios” – esto incluye varios tipos de servicios, como ingeniería, arquitectura e informática, servicios jurídicos, servicios de empleo y gestión de instalaciones.

El grupo utiliza metodologías similares a las del resto de organizaciones criminales, consiguiendo el acceso inicial mediante phishing y desplegando balizas de Cobalt Strike para continuar con la cadena de ataque. Algo que les diferencia del resto de OCGs es que aún se encuentra en proceso de maduración como grupo. Investigadores de SentinelOne analizaron su malware e indicaron que aparentemente aun encuentra en desarrollo, algunas características vistas en variantes de ransomware más desarrolladas no se encuentran en el código de Rhysida – mecanismos para establecer persistencia, eliminación de copias de registro, eliminación de programas en ejecución… etc.

Si bien el grupo no ha alcanzado un desarrollo tan alto como otros y no se considera que opere dentro del “Big Game Hunting” – ya que se centra en instituciones medianas – su impacto es notable, siendo capaz de interrumpir diversos servicios en un sector que forma parte de la infraestructura crítica como es el sector sanitario. Una particularidad del grupo es que ofrece en subasta la información exfiltrada de la empresa víctima, afirmando que solo el comprador tendrá acceso a la misma si paga.

El 21 de diciembre de 2023, un grupo de investigadores de la Universidad Kookmin y de la Agencia de Internet y Seguridad de Corea (KISA) publicaron un descifrador gratuito del ransomware Rhysida, solo válido para el entorno PE de Windows.