12-05-2025, 04:42 PM
(This post was last modified: 12-05-2025, 04:42 PM by mrwebfeeder.)
Nombre: Rhysida
Categoría: Ransomware (double extortion)
Fecha de descubrimiento: 2023 (aprox. mayo, primeros reportes públicos)
Comportamiento (lo que hace y archivos que infecta):
Mitigación con GetOverX Shield v3.0.2.0 o superior:
Notas opcionales:
Categoría: Ransomware (double extortion)
Fecha de descubrimiento: 2023 (aprox. mayo, primeros reportes públicos)
Comportamiento (lo que hace y archivos que infecta):
- Llega típicamente mediante acceso remoto comprometido (RDP/VPN), phishing dirigido o explotación de servicios expuestos.
- Una vez dentro de la red, el grupo atacante realiza reconocimiento, movimiento lateral y exfiltración de datos sensibles antes de cifrar.
- Cifra documentos, bases de datos, imágenes, proyectos, backups accesibles y recursos compartidos de red, añadiendo normalmente la extensión asociada a Rhysida a los archivos cifrados.
- Deja una nota de rescate (a menudo en PDF) donde se presenta como un “equipo de ciberseguridad” que “ayuda” a la víctima.
- Suele excluir algunos archivos de sistema y extensiones críticas para mantener el sistema arrancable.
- Uso de claves de Registro y tareas programadas para ejecutar el binario de ransomware o herramientas auxiliares.
- Abuso de herramientas administrativas (PowerShell, PsExec, wmic) para desplegar el payload en múltiples equipos.
- Uso prolongado de credenciales comprometidas (RDP, VPN, cuentas de dominio) para permanecer en la red durante días/semanas antes de lanzar el cifrado.
- Eliminación de copias de sombra y limpieza de logs para hacer más difícil la recuperación y el análisis.
Code:
258ddd78655ac0587f64d7146e52549115b67465302c0cbd15a0cba746f05595- Antivirus:
Configurar análisis en tiempo real y escaneos completos para detectar el binario de Rhysida y sus droppers. Supervisar cambios masivos de extensión de archivos y picos de escritura sospechosos.
- Firewall:
Restringir RDP y VPN expuestos, permitiendo solo acceso desde ubicaciones confiables y con MFA. Bloquear tráfico hacia dominios/IPs asociados a infraestructura de mando y control o servidores de filtración de datos utilizados por el grupo.
- HIPS/EDR:
- Detectar creación masiva de archivos cifrados en poco tiempo.
- Alertar y bloquear comandos como
, limpieza de logs y uso anómalo de herramientas administrativas para desplegar binarios.Code:vssadmin delete shadows
- Configurar respuesta automática para matar procesos con comportamiento de cifrado, bloquear sus hashes y aislar el host.
- Detectar creación masiva de archivos cifrados en poco tiempo.
- Sandbox:
- Analizar en Sandbox ejecutables y scripts sospechosos que lleguen por correo o se descarguen en servidores críticos.
- Probar herramientas “de soporte” o “parches” antes de ejecutarlos en el entorno de producción, especialmente si proceden de canales no verificados.
- Analizar en Sandbox ejecutables y scripts sospechosos que lleguen por correo o se descarguen en servidores críticos.
- Medidas posteriores al incidente:
- Desconectar inmediatamente los equipos afectados de la red.
- Restaurar datos solo desde copias de seguridad offline o inmutables.
- Rotar contraseñas de cuentas privilegiadas y revisar accesos a VPN, RDP y paneles administrativos.
- Revisar y endurecer políticas de segmentación de red y monitoreo para detectar futuras intrusiones.
- Desconectar inmediatamente los equipos afectados de la red.
Notas opcionales:
- Añadir enlaces a informes públicos de Rhysida (análisis técnicos, IOCs).
- No compartir enlaces directos a muestras ejecutables en el foro; solo hashes e información técnica.