The Rhysida’s Hack: O Caso do Município de Gondomar

O ransomware representa hoje uma ameça significativa para empresas, organizações governamentais e não-governamentais, em termos de sofisticação e danos causados. Em Portugal concretamente, o número médio de ataques por ransomware registou um aumento de 9% nos primeiros seis meses de 2023 face ao mesmo período de 2022, os dados são do mais recente relatório da Check Point.

A Câmara Municipal de Gondomar é uma das mais recentes vítimas do grupo Rhysida, um grupo de cibercriminosos que utiliza o ransomware para exfiltrar dados, bloquear e paralisar as operações dos seus alvos. Quem são os Rhysida? Como atuam? Que dados foram alegadamente roubados do Município de Gondomar? Qual o possível impacto deste ataque?

Créditos: Município de Gondomar

Num comunicado enviado às redações e publicado no website e redes sociais, a Câmara Municipal de Gondomar deu nota de que havia sido alvo de um ciberataque na madrugada de 27 de setembro. O incidente segundo avançava o comunicado de 9 de outubro, causou indisponibilidade temporária nos serviços online, técnicos e administrativos.

A 6 de outubro, o grupo de hackers “Rhysida” reivindica o ataque, colocando os dados alegadamente roubados em leilão durante 7 dias no seu portal na darkweb, caraterizando a informação como “exclusiva, única e impressionante”, pelo preço de 9,99 BTC, o equivalente a 260 mil euros. Findo o prazo à 01h16 da madrugada de 13 de outubro, o grupo acabaria por disponibilizar gratuitamente 70% dos ficheiros que encriptara – 249GB = 100305 arquivos.

Imagem 1: Publicação do Leak no portal do grupo atacante

1. Grupo Rhysida

Embora não exista uma extensa literatura sobre o grupo, uma vez que este é um player recente, é já possível traçar um breve perfil das metodologias e ferramentas utilizadas, bem como, dos setores e países alvo preferenciais. O grupo assume-se como uma “equipa de cibersegurança” cujo objetivo é destacar potenciais problemas de segurança nas infraestruturas tecnológicas das vítimas, simultaneamente ameaçam divulgar os dados exfiltrados caso o resgate não seja pago.

De um modo geral, podemos identificar os Rhysida como um grupo de Ransomware-as-a-Service (RaaS). O grupo surgiu alegadamente em maio de 2023, contudo, apenas ganhou notoriedade em junho ao reivindicar o ciberataque ao Exército chileno, do qual divulgou e disponibilizou cerca de 220GB de arquivos pertencentes àquela instituição sul-americana.

Tracemos agora um breve perfil do grupo.

1.1. Modus Operandi

O ransomware “.rhysida” pode ser implantado de diversas formas, contudo, o que se tem comumente observado é uma linha cronológica semelhante à apresentada em seguida.

Figura 1. Etapas da Implantação do ransomware

O ataque inicia-se com um email tipo phishing que leva a vítima a aceder a uma página aparentemente legitima, realizar o download e instalação de um ficheiro semelhante a um patch, cuja função é corrigir erros de software que podem comprometer a segurança dos dispositivos – movimento lateral – habitualmente através de uma versão modificada do software Cobalt Strike.

Após o “movimento lateral” dentro do sistema, é executado o “exploit” do ransomware de chave RSA de 4096 bits de base algorítmica ChaCha20, sendo assim dado o comando ao sistema “file_to_crypt”. Se este comando for bem-sucedido, os ficheiros presentes no diretório alteram a sua extensão para “.rhysida”, o que resulta na encriptação e inacessibilidade dos mesmos.

Uma vez encriptados, é gerado o documento “CriticalBreachDetected.pdf”, uma espécie de nota de resgate que fica disponível nas pastas afetadas pelo ransomware, nesta, os hackers tentam (de forma subtil) coagir a vítima com base nos possíveis danos financeiros e reputacionais decorrentes da venda, publicação e/ou distribuição dos dados exfiltrados. Assim, é seguro afirmar-se que os Rhysida seguem uma estratégia de multi-extorsão e, mais concretamente de dupla extorsão, uma vez que, a operação é realizada em pelos menos duas fases a saber: encriptação dos dados e coação da vítima caso esta não se mostre colaborante.

Imagem 2: Documento “CriticalBreachDetected.pdf”

2. O caso do Município de Gondomar

Embora o ciberataque apenas tenha sido detetado na madrugada de 27 de setembro, em detrimento da inoperacionalidade dos dispositivos do Centro Municipal de Operações, é percetível pela análise das etapas descritas acima: a) acesso inicial; b) movimento lateral; c) execução; e d) encriptação – que o ataque estaria em andamento há pelo menos algumas semanas, sem que, contudo, fosse detetado pelos peritos do município. Corrobora com esta perspetiva o facto de terem sido divulgados sensivelmente 100305 ficheiros (249GB) – documentos de formatos como: .pdf , .jpeg, .docx, ou .dwg, entre outros – na página dos atacantes na darkweb.

Veja-se em pormenor a capa do leilão apresentado.

Imagem 3: Capa em pormenor do leilão na página do grupo Rhysida

Assim, de uma análise preliminar ao diretório apresentado pelos hackers, é constatável a minucia com que estes examinaram os dados presentes nos servidores do município, dado que, os documentos disponibilizados têm quase na sua globalidade relativa antiguidade e de formato técnico – como .dwg ou .shx – ou seja, sem qualquer relevância e utilidade para serem comercializados no mercado negro. Ou seja, pode concluir-se ainda que não de forma absoluta, uma vez que não existem evidências concretas, que os ativos leiloados/vendidos poderão corresponder a elementos tais como: identificação pessoal ou comercial, contactos pessoais ou profissionais, dados bancários, entre outros.

Perante a possibilidade de 30% dos dados vendidos serem referentes a informação particular e confidencial, poderá haver lugar à ocorrência de crimes na forma tentada e consomada, tais como, usurpação de identidade, burla, roubo, extorsão. Do mesmo modo e tendo em conta a extensão do incidente, não é expectável, na nossa opinião, uma rápida recuperação dos sistemas afetados, ficando assim comprometidos os serviços prestados aos munícipes e aos demais cidadãos e empresas que mantém relação com a Câmara Municipal de Gondomar.