Rhysida Ransomware : un nouveau risque pour le secteur de la santé

Rhysida se présente comme une équipe de cybersécurité qui vise à aider les entreprises à améliorer la sécurité de leurs systèmes en mettant en exergue leurs failles. Le nom du collectif cybercriminel est inspiré du mille-pattes Rhysida, comme le montre leur logo sur leur site vitrine. L’origine du groupe n’est pas connue, mais il vise essentiellement les pays d’Amérique, d’Europe de l’Ouest et l’Australie. Plusieurs sources, dont le HC3, l’affilient au groupe Vice Society (faisant l’objet d’une précédente actualité).

Source HC3

L’alerte du HC3 explique que l’hameçonnage suivi du déploiement de l’outil Cobalt Strike est le vecteur d’infection le plus utilisé. Une fois l’accès obtenu, le groupe déploie un exécutable Windows Rhysida destiné au chiffrement des machines. Ce logiciel est compilé via l’utilitaire MINGW/GCC. 

L’analyse d’échantillons de précédentes attaques a permis au HC3 de déterminer que le logiciel semble toujours être en phase de développement. Il remarque que les commandes pour modifier les registres ne sont pas obfusquées. 

Lors de l’exécution du rançongiciel, celui-ci énumère les fichiers présents sur la machine et chiffre certains d’eux via la fonction file_to_crypt, avant de modifier leurs extensions en «.rhysida ». 

Durant cette phase de chiffrement, le logiciel utilise l’algorithme ChaCha20 avec une clé RSA de 4096 bits. Une fonction isFileExcluded est utilisée avec une liste d’exclusion afin de ne pas chiffrer certains fichiers.

Une fois l’attaque réalisée, une note de rançon au format PDF est ajoutée dans les dossiers chiffrés. Cette note renvoie l’utilisateur vers leur site de divulgation sur le dark web où la victime peut échanger avec les cybercriminels et procéder au paiement de la rançon en Bitcoin.

Note de rançon de Rhysida (source : SentinelOne)

Pour rappel, l’ANS met à disposition des organisations de santé une fiche réflexe de gestion préventive du risque représenté par les rançongiciels.