Le prime tracce del gruppo Rhysida si sono manifestate ad opera dell’omonimo ransomware e risalgono al mese di maggio del 2023. In Italia si sono palesate a novembre dello stesso anno, in occasione dell’attacco all’azienda ospedaliera di Verona.

Il collettivo ha dato prova delle pericolosità del proprio ransomware sia usandolo direttamente sia concedendolo in uso ad altre gang di hacker che hanno seminato il panico un po’ ovunque, riuscendo a superare le difese dei sistemi Microsoft e non disdegnando la doppia estorsione.

Non da ultimo, irride le proprie vittime sostenendo che devono apprezzare i lati positivi dell’incursione hacker, capace di dimostrare loro le debolezze delle rispettive difese.

Per approfondire il fenomeno ci siamo avvalsi del parere di Alessandro Molari, Ceo dell’azienda italiana di cyber security Cyberloop.

Protocollo RDP, perché è ancora un problema di cyber security: come approntare una difesa

Il gruppo Rhysida

Il nome Rhysida richiama un millepiedi che scava nel terreno e, di fatto, è ciò che fa qualsiasi virus, che bypassa i sistemi di sicurezza per entrare nei perimetri delle reti aziendali.  Sulle origini del collettivo gravano diverse ipotesi che lo situano in diversi Paesi dell’Europa orientale e, stando ad alcune voci esperte, sarebbe la reunion o sarebbe in qualche modo collegato con il collettivo Vice Society. Informazione questa che, seppure condivisa da testate autorevoli, non trova almeno attualmente riscontro certo.

Si spaccia per un collettivo di cyber security, definendosi quasi benefico perché aiuterebbe le proprie vittime a proteggersi meglio, rendendo pubbliche le vulnerabilità attraverso le quali ha superato le difese di ogni singolo bersaglio. Una narrazione ironica che non trova il conforto della realtà, anche perché il ransomware Rhysida è ceduto nella modalità Ransom-as-a-Service (e quindi potenzialmente concesso in uso a chiunque ne faccia richiesta) e, non di meno, si situa nella famiglia dei ransomware a doppia estorsione, ossia quelli che chiedono un riscatto per decrittare i file e che, a prescindere, ne esfiltrano copia per eventualmente rivenderle.

La gang si muove trasversalmente tra settori pubblici e privati, concentrandosi su sanità, manifattura, l’ICT e l’istruzione. Un portfolio variegato che, stando alle ricostruzioni di Sony, include anche l’attacco alla controllata Insomiac Games del mese di dicembre del 2023, quello di poche settimane prima rivolto alla Biblioteca nazionale britannica e quello di maggio del 2023 che ha messo in difficoltà l’esercito cileno.

Come agisce Rhysida

Le tecniche sono di diverso tipo e, in comune, sfruttano la lentezza con cui organizzazioni implementano o aggiornano i rispettivi sistemi difensivi. Per esempio, il collettivo sfrutta profili utente Remote Desktop Protocol (RDP) precedentemente esfiltrati e mai disabilitati.

Agisce soprattutto laddove mancano sistemi di autenticazione multi-fattore e, per preparare il terreno, ricorre a campagne phishing oppure all’ingegneria sociale.

In realtà, benché abbia delle particolarità proprie, Rhysida non è da considerare del tutto innovativo e affonda le fauci sfruttando le classiche vulnerabilità dei sistemi. Alessandro Molari approfondisce questo aspetto: “Rhysida è un ransomware che opera in modalità RaaS (Ransomware-as-a-Service) e quindi permette a varie organizzazioni criminali di sfruttare il ransomware per compiere attacchi. Si riscontra un possibile rapido processo di sviluppo al fine di rendere la minaccia operativa in tempi molto stretti”.

“È considerato una novità sotto certi aspetti, anche se esistono similarità con tattiche, tecniche e strumenti rispetto ad altri ransomware e il riuso di librerie note (per esempio, LibTomCrypt)”, continua Molari, che aggiunge: “Tra i pattern comuni presenti anche in Rhysida si è rilevato un collegamento degli attaccanti alla rete aziendale attraverso canali VPN e RDP, utilizzando account violati, eventualmente grazie a precedenti campagne di phishing. Una volta compromessa la rete aziendale, si dispiegano strumenti di Backdoor e di Command & Control, come ad esempio SystemBC e PortStarter. Attraverso l’esfiltrazione di credenziali, gli attaccanti possono poi muoversi ‘lateralmente’ e quindi espandere la compromissione nell’intera infrastruttura (ad esempio mediante RDP e PSExec), distribuire il binario malevolo del ransomware ed esfiltrare le informazioni, ad esempio utilizzando MegaSync, WinSCP o script PowerShell creati appositamente”.

Gli equilibri in gioco

Il punto, però e come già scritto, è che Rhysida penetra con relativa facilità laddove i sistemi, le tecniche e le procedure di difesa non sono aggiornati né si distinguono per resilienza. Questo rilancia un tema sempiterno che, ancora oggi, tende a creare un’immagine un po’ distorta delle capacità degli hacker e di quelle di chi si occupa di difesa. Fermo restando che sembri esserci uno squilibrio a svantaggio di questi ultimi, scavando un po’ più a fondo, sorge anche il dubbio che l’esercito degli hacker appaia più numeroso di quanto in realtà non sia: “I cyber criminali – per la maggior parte gruppi organizzati – spesso si avvalgono di filiere di fornitura e di interscambio di competenze e strumenti che sovente rende rapida ed efficace la costituzione di gruppi e la loro operatività.

Ad oggi, la capacità organizzativa degli attaccanti è pari – se non superiore – a quella di molte aziende, con specifiche figure preposte a ruoli noti anche al mondo delle normali organizzazioni, quali di Marketing, Business Development, Recruiting, HR, oltre che alle tipiche funzioni tecniche e specialistiche relative al ‘core business’. Questo rende ancora più efficace la capacità di raccogliere investimenti e costituire e organizzare nuovi collettivi.

In aggiunta, spesso i gruppi possono attuare azioni di rebranding e creare partnership che possono comportare il cambio del profilo di attacco e la comparsa di nuovi nomi, mantenendo però spesso tattiche, tecniche e strumenti di attacco simili.La trasformazione della minaccia ransomware Ryuk in Conti ne è un chiaro esempio”, spiega Molari.

Sembrano scenari di attacco numericamente limitati e che riguardano realtà aziendali di una certa grandezza o in settori specifici ma, come ricorda il Ceo di Cyberloop, sono in realtà episodi che si verificano con una certa frequenza: “In Cyberloop spesso ci troviamo a difendere e contrastare gruppi organizzati e, anche mediante opportuni meccanismi di classificazione basati su algoritmi di Machine Learning, notiamo una forte correlazione fra differenti attacchi e diverse organizzazioni criminali, il che spesso indica possibili interscambi di tecnologie e dati”.

Le modalità di difesa

Giova, infine, ricordare quali strategie di difesa è opportuno che ogni organizzazione metta in atto, compito che lasciamo ad Alessandro Molari: “È fondamentale considerare l’investimento nelle misure di resilienza, non solo dal punto di vista della risposta all’attacco o all’eventuale ripristino dei sistemi e dei processi digitali, bensì dalle nostre esperienze notiamo che risulta essenziale e di primaria importanza l’investimento delle misure di prevenzione, atte alla riduzione del rischio, e alle misure di preparazione, ovvero di predisposizione di tutte le misure di difesa.

A tale scopo, è fondamentale adottare un approccio completo che tenga in considerazione di tutti i fattori esistenti, in cui quelli implementativi e tecnologici sono intrinsecamente correlati a quelli organizzativi, di processo e relativi al fattore umano.

Per Cyberloop, è importante adottare un processo di miglioramento continuativo che, come in un ‘loop’, permetta di introdurre misure graduali, sostenibili e adatte alla complessità dell’azienda e che ne renda possibile la misura, la verifica e il governo.

Nello specifico della minaccia ransomware, è fondamentale investire in misure che permettano di ridurre il rischio derivante dall’accesso iniziale (ad esempio mediante opportune misure di Security Hardening e Cyber Hygiene), che consentano di individuare quanto prima eventuali minacce in corso, e che favoriscano azioni tempestive per contenere una eventuale compromissione, eventualmente impiegando regole di analisi comportamentale e di rilevamento di anomalie e basate su Threat Intelligence. Infine, è necessario adottare un piano di gestione delle crisi informatiche che permetta, anche nel peggiore dei casi, di avere una risposta pronta per contenere non solo gli impatti tecnici nei sistemi, ma anche quelli operativi, normativi e reputazionali”.

Niente di cui non si discuta già da tempo, la difesa in sé è costituita soprattutto da buone prassi e dalla diffusione dell’opportuna cultura tra tutti gli stakeholder.

@RIPRODUZIONE RISERVATA