La Cybersecurity and Infrastructure Security Agency (CISA), il Federal Bureau of Investigation (FBI) e il Multi-State Information Sharing and Analysis Center (MS-ISAC) hanno recentemente pubblicato un avviso congiunto sul ransomware Rhysida. Questo avviso fornisce dettagli cruciali sugli indicatori di compromissione (IOCs), i metodi di rilevamento e le tattiche, tecniche e procedure (TTPs) identificate attraverso indagini condotte fino a settembre 2023.
Ransomware Rhysida: minaccia crescente
Rhysida è stato osservato come un modello di ransomware-as-a-service (RaaS), con attori che hanno compromesso organizzazioni nei settori dell’educazione, della produzione, dell’informatica e del governo. In questo schema, i profitti del riscatto vengono divisi tra il gruppo Rhysida e i suoi affiliati. Gli attori di Rhysida sfruttano servizi remoti esterni, come reti private virtuali (VPN), la vulnerabilità Zerologon (CVE-2020-1472) e campagne di phishing per ottenere accesso iniziale e persistenza all’interno di una rete.
Raccomandazioni per la mitigazione
CISA, FBI e MS-ISAC incoraggiano le organizzazioni a rivedere l’avviso congiunto per implementare misure di mitigazione al fine di ridurre la probabilità e l’impatto degli incidenti di ransomware Rhysida e altri. Per ulteriori informazioni, si consiglia di consultare la pagina web di CISA #StopRansomware, che include la guida aggiornata #StopRansomware.