RHYSIDA

🔍 Contexte Publié le 16 mars 2026 par le Google Threat Intelligence Group (GTIG), ce rapport analyse les tactiques, techniques et procédures (TTPs) observées lors des incidents ransomware traités par Mandiant Consulting en 2025. Il couvre des victimes situées en Asie-Pacifique, Europe, Amérique du Nord et du Sud, dans presque tous les secteurs d’activité. 📊 Paysage ransomware 2025 Record historique de posts sur les Data Leak Sites (DLS) en 2025, dépassant 2024 de près de 50% La rentabilité globale est en déclin : taux de paiement de rançon au plus bas historique en Q4 2025 (Coveware), demande moyenne réduite d’un tiers à 1,34 M$ en 2025 contre 2 M$ en 2024 (Sophos) Près de la moitié des victimes ont pu restaurer depuis des sauvegardes en 2024 (contre 28% en 2023 et 11% en 2022) LockBit, ALPHV, Basta et RansomHub ont été perturbés ou ont disparu ; Qilin et Akira ont comblé le vide REDBIKE (Akira) est la famille ransomware la plus déployée : ~30% des incidents Montée en puissance des opérations de data theft extortion seule (sans chiffrement) Ciblage croissant des petites organisations (moins de 200 employés) Adoption de technologies Web3 (ICP blockchain, Polygon smart contracts) pour la résilience des infrastructures Intégration de l’IA dans les opérations (négociations, analyse des victimes) Doublement des familles ransomware cross-platform (Windows + Linux) 🎯 Vecteurs d’accès initial Exploitation de vulnérabilités : 1/3 des incidents (VPNs et firewalls principalement) Fortinet : CVE-2024-21762, CVE-2024-55591, CVE-2019-6693 SonicWall : CVE-2024-40766 Palo Alto : CVE-2024-3400 Citrix : CVE-2023-4966 Microsoft SharePoint : CVE-2025-53770, CVE-2025-53771 (zero-day par UNC6357) SAP NetWeaver : CVE-2025-31324 CrushFTP : CVE-2025-31161 CVE-2025-8088 exploité en zero-day par UNC2165 CVE-2025-61882 exploité contre Oracle EBS (CL0P) Credentials volés : 21% des incidents identifiés (VPN, RDP) Malvertising / SEO poisoning : UNC6016 (→ NITROGEN, RHYSIDA), UNC2465 (→ SMOKEDHAM) Bruteforce : attaques prolongées sur VPNs (ex. Daixin sur près d’un an) Accès via subsidiaires ou tiers (réseaux intermédiaires) Ingénierie sociale : UNC5833 via Microsoft Teams + Quick Assist 🔧 TTPs post-compromission Établissement de foothold : ...

Selon une publication technique signée par Pierre Le Bourhis (Sekoia.io), cette recherche détaille le fonctionnement d’OysterLoader (a.k.a. Broomstick/CleanUp), un loader C++ multi‑étapes distribué via faux sites d’installateurs MSI signés, utilisé dans des campagnes menant au ransomware Rhysida et à la diffusion de l’infostealer Vidar. — Aperçu et chaîne d’infection (4 étapes) Stage 1 – Packer/Obfuscator (TextShell) : API hammering massif (appels GDI/DLL sans but), résolution dynamique d’API par hachage custom, anti‑debug basique (IsDebuggerPresent → boucle infinie), allocation RWX et copie « mélangée » du stage suivant. Structure interne « core » embarquant données compressées, API résolues et config. Stage 2 – Shellcode : décompression LZMA custom (en‑tête et bitstream non standards), fixups de relocalisation (patch E8/E9), résolution d’imports via LoadLibraryA/GetProcAddress, changement des protections mémoire puis saut vers le payload reconstruit. Stage 3 – Downloader : vérifications d’environnement (compte les processus et quitte si < 60 ; fonction de test langue russe non appelée ; mesures de timing), premier contact C2 via HTTPS avec enregistrement (/reg) et déguisement réseau (entêtes x-amz-cf-id, Content-Encoding, UA « WordPressAgent » puis « FingerPrint »). Récupération du stage suivant via stéganographie dans une icône retournée par /login, décryptée en RC4 avec une clé hardcodée ; dépôt d’une DLL dans %APPDATA% et persistance par tâche planifiée (rundll32 DllRegisterServer, toutes les 13 min). Stage 4 – Core (COPYING3.dll) : réemploi de l’obfuscation (shellcode + LZMA custom), C2 HTTP clair (port 80) avec fallback sur 3 IPs, beacons et schéma JSON encodé par Base64 non standard avec décalage aléatoire (Mersenne Twister) et alphabet custom. Évolution récente vers /api/v2/ avec init/facade et rotation d’alphabet fournie par le C2 (champ tk) ; empreinte enrichie (t11/t12 : liste des processus et PIDs). — Déguisement, évasion et communication C2 ...

Selon GBHackers Security, le gang de ransomware Rhysida (ex-Vice Society depuis 2023) conduit une campagne sophistiquée de malvertising qui livre le malware OysterLoader via des publicités de moteurs de recherche trompeuses, notamment des annonces payantes Bing, offrant aux attaquants un accès complet aux appareils et aux réseaux compromis. Les annonces malveillantes se font passer pour des contenus liés à PuTTY, redirigeant les victimes vers une chaîne d’infection peaufinée par le groupe. Cette chaîne aboutit au déploiement d’OysterLoader, utilisé pour établir et maintenir l’accès sur les systèmes touchés. ...

Selon The Record, l’agence de transport public à l’échelle de l’État du Maryland a confirmé qu’une cyberattaque déjà révélée a entraîné l’exposition d’une quantité inconnue de données, tandis qu’un gang de cybercriminalité très actif (Rhysida) a revendiqué l’opération. – Type d’incident : cyberattaque ayant conduit à une exposition de données. – Impact : quantité de données exposées inconnue à ce stade. – Acteurs : gang cybercriminel très actif ayant revendiqué l’attaque. ...

Selon At-Bay, dans un cas observé, un utilisateur a été piégé par un empoisonnement SEO et a téléchargé une version trojanisée de PuTTY.exe, ouvrant la voie à Rhysida pour obtenir l’accès et la persistance au sein du réseau. L’acteur s’est ensuite déplacé latéralement via RDP (Remote Desktop Protocol), et a effectué une découverte réseau en s’appuyant sur l’outil Advanced Port Scanner. La phase d’exfiltration a été réalisée via des commandes azcopy, transférant avec succès plus de 100 000 fichiers vers un stockage Azure contrôlé par l’attaquant 📤. ...

Selon un rapport de l’Insikt Group publié le 24 avril 2025, plusieurs acteurs malveillants utilisent un TDS malveillant, dont les groupes de ransomware Rhysida et Interlock. Rhysida, une opération sophistiquée de ransomware en tant que service, est connue pour extorquer des organisations de santé et d’autres infrastructures critiques. En 2023, le groupe a revendiqué une attaque contre Prospect Medical Holdings, entraînant le vol de plus de 500 000 numéros de sécurité sociale et perturbant les opérations de dix-sept hôpitaux et 166 cliniques. Interlock, un autre groupe de ransomware, cible principalement les organisations de santé et d’autres ‘gros poissons’ pour extorquer des paiements plus élevés grâce à des attaques à fort impact sur de grandes organisations. En décembre 2024, le groupe a revendiqué une attaque contre le Texas Tech University Health Sciences Center, volant 2,6 To de données personnelles sensibles. Interlock partage de nombreuses similitudes avec Rhysida, telles que les tactiques, les outils et les comportements de chiffrement, bien que la relation exacte entre les deux reste inconnue. ...

Le gang de ransomware Rhysida a revendiqué le vol de 2,5 To de fichiers appartenant au Département de la qualité de l’environnement de l’Oregon. Cet incident souligne une fois de plus la menace croissante que représentent les attaques de ransomware pour les organisations de toutes tailles et de tous secteurs. Il n’est pas encore clair quelles données ont été volées, ni comment le gang a réussi à pénétrer les systèmes du département. Cependant, cet incident met en évidence l’importance de la mise en place de mesures de sécurité robustes pour protéger les données sensibles contre ce type d’attaques. ...