Ransomware Rhysida (Actualización)

Publicado hace 8 meses 14-10-2025

Rhysida es un grupo de ransomware como servicio (RaaS) que surgió a inicios de 2023 y que se consolidó rápidamente como una operación criminal centrada en la doble extorsión. Su modo de ataque inicia robando información crítica de las víctimas para amenazar con su publicación, y posteriormente cifrar los sistemas comprometidos con el fin de exigir el pago de un rescate. Además, el grupo mantiene un sitio de filtraciones en la red y portales de negociación, que utiliza para presionar públicamente a las víctimas que se niegan a pagar. 

Para lograr el acceso inicial, Rhysida emplea principalmente campañas dirigidas de phishing, archivos maliciosos y el abuso de servicios de acceso remoto como RDP o VPN. También aprovechan vulnerabilidades sin parchear y credenciales comprometidas para infiltrarse en las redes. Una vez dentro, utilizan herramientas como Cobalt Strike y loaders personalizados para ejecutar cargas útiles, moverse lateralmente, escalar privilegios y buscar información sensible antes de proceder al cifrado y exfiltración de los datos. Su cadena de ataque está compuesta por diversos elementos técnicos, como scripts automatizados, herramientas de persistencia, módulos de exfiltración y herramientas de limpieza, lo que les permite mantener el control y dificultar la detección. 

En cuanto a sus objetivos, Rhysida ha mostrado una clara preferencia por organizaciones que manejan datos sensibles que no pueden permitirse interrupciones prolongadas en sus operaciones. Entre los sectores empresariales más afectados se encuentran el sanitario, gubernamental, educativo, de manufactura y de servicios empresariales. Los registros públicos de sus filtraciones confirman decenas de víctimas a nivel mundial y se estima que la lista supera las 225 organizaciones comprometidas de distintos tamaños y regiones.  

Los impactos de sus ataques han sido severos, incluyendo interrupciones operativas significativas, exposición de datos personales y corporativos, y pérdidas económicas elevadas tanto directas como derivadas de la recuperación y la respuesta al incidente. Además, el grupo ha empleado tácticas como presión psicológica y engaño, llegando incluso a presentarse falsamente como un “equipo de ciberseguridad” que ofrece ayuda a las víctimas tras ataques, para posteriormente extorsionarlas económicamente. Estas estrategias refuerzan la percepción de Rhysida como una amenaza compleja, organizada y en constante evolución dentro del ecosistema del ransomware.  

Recientemente han comenzado a adoptar herramientas nativas de la nube, tales como AZCopy o StorageExplorer-windows-x64.exe, que permiten manipular archivos e interactuar con el almacenamiento en la nube. 

A screenshot of a computerAI-generated content may be incorrect. 

Sitio de filtraciones del ransomware Rhysida [1] 

 

#StopRansomware: Rhysida Ransomware | CISA 

Nota de Rescate del ransomware Rhysida [2] 

 

Taxonomía  

Tactic 

ID 

Technique / Subtechnique Name 

Initial Access 

T1566.001 

Phishing: Spearphishing Attachment 

T1133 

External Remote Services 

T1190 

Exploit Public-Facing Application 

T1078 

Valid Accounts 

Persistence 

T1053.005 

Scheduled Task / Job: Scheduled Task 

T1112 

Modify Registry 

Privilege Escalation 

T1055.002 

Process Injection: Portable Executable Injection 

T1068 

Exploitation for Privilege Escalation 

Defense Evasion 

T1070.001 

Indicator Removal: Clear Windows Event Logs 

T1070.004 

Indicator Removal: File Deletion 

T1564.003 

Hide Artifacts: Hidden Window 

T1070.004 

Indicator Removal on Host: File Deletion 

T1562.001 

Impair Defenses: Disable or Modify Tools 

Execution 

T1059.009 

Command and Scripting Interpreter: Cloud API 

T1059.001 

Command and Scripting Interpreter: PowerShell 

T1059.003 

Command and Scripting Interpreter: Windows Command Shell 

T1059 

Command and Scripting Interpreter 

T1204.002 

User Execution: Malicious File 

Credential Access 

T1003.001 

OS Credential Dumping: LSASS Memory 

T1003.003 

OS Credential Dumping: NTDS 

Discovery 

T1082 

System Information Discovery 

T1046 

Network Service Scanning 

T1016 

System Network Configuration Discovery 

T1018 

Remote System Discovery 

T1033 

System Owner/User Discovery 

T1069.001 

Permission Groups Discovery: Local Groups 

T1069.002 

Permission Groups Discovery: Domain Groups 

T1087.002 

Account Discovery: Domain Account 

T1482 

Domain Trust Discovery 

Lateral Movement 

T1021.002 

Remote Services: SMB/Windows Admin Shares 

T1570 

Lateral Tool Transfer 

T1021.001 

Remote Services: Remote Desktop Protocol 

T1021.004 

Remote Services: SSH 

Collection 

T1114.002 

Email Collection: Local Email Collection 

Exfiltration 

T1041 

Exfiltration Over C2 Channel 

Command and Control 

T1071.001 

Application Layer Protocol: Web Protocols 

T1219 

Remote Access Tools 

Impact 

T1486 

Data Encrypted for Impact 

T1490 

Inhibit System Recovery 

T1654 

Data Manipulation: Data Destruction 

T1657 

Data Extortion 

T1657 

Financial Theft 

Resource Development 

T1587 

Develop Capabilities 

 

Indicadores de compromiso

IOC 

Tipo 

574c70e84ecdad901385a1ebf38f2ee74c446034e97c33949b52f3a2fddcd822 

FileHash-SHA256 

82b246d8e6ffba1abaffbd386470c45cef8383ad19394c7c0622c9e62128cb94 

FileHash-SHA256 

9601f3921c2cd270b6da0ba265c06bae94fd7d4dc512e8cb82718eaa24accc43 

FileHash-SHA256 

cfc2fe7236da1609b0db1b2981ca318bfd5fbbb65c945b5f26df26d9f948cbb4 

FileHash-SHA256 

05ab428fc0b171957e9144351a7480cfea2f617f20dd23c145736bd0a22eb041 

FileHash-SHA256 

06dec1d05b77f765b9d12c223d4b7887dc0a526e8d8a790bd2b99346619dc837 

FileHash-SHA256 

077f1659add338e217216acd6f284634977c507f5e2df5ac0e08bcadaef8fd64 

FileHash-SHA256 

0851fd5671640a9acaf688e2886570759364135915f272d4ff7946fe001b3f4c 

FileHash-SHA256 

094b9b61f910f45b9896d249e18eec653370da3e80a05f7a86cef57170340f87 

FileHash-SHA256 

0b2fc17409949fead98cac2eeb41442dc394225b8b4025c4f6101b73b515d09b 

FileHash-SHA256 

0cace05e3f256ad430fa6e5b42763c977f3b6e19b6a4e18e717a9c209cf2ddc1 

FileHash-SHA256 

0e8837be7802d9cbc0bf01b7701dcc37f906e075c5cbfbe45804f72eaf624756 

FileHash-SHA256 

2261bce086869cb90502272e933f1f356adc886dd8da83e5197923546827f43e 

FileHash-SHA256 

2660e5a5b38f32e30293b51e6bb7a2e43caca9d4a17619e17c7fbe93f08c0e26 

FileHash-SHA256 

34605c0dfbabf7ce8836091dc760a073da37f1ab35ef3e33f13117bcf044d07e 

FileHash-SHA256 

405486ac746e7dfea797c676ede336fde69cf19cd4249e6d2d8a4d9483617cfe 

FileHash-SHA256 

47975a0d9299ba46e2f313c6bc9a47a760c3243509660b9edb83ffbd47e3a98b 

FileHash-SHA256 

47e95a56736031567b2a1663410e635627ca812a2926b37f46f2322bbcbc0238 

FileHash-SHA256 

4adfdd5d066fb1f880f02fdd0118095afdf60d644c5df79f43935cfc3b80640e 

FileHash-SHA256 

59f9929ed207c31b1d1cdf149ae3bea5d1187453574b405639bbac240ea1b693 

FileHash-SHA256 

5c68fda16039ff29e9bf93c6dac11edbcd111dc8ec29fa499637c43b07039d92 

FileHash-SHA256 

64a45cc8499992de72e4fe8c2a07100e97e333c09c0c004af2b88d8aedcd19f1 

FileHash-SHA256 

687459d587df273184469f7e707c0e5db8fe4e3d4b15756d666891127851680b 

FileHash-SHA256 

72c7e22177b612254f40c5b5bc1555b5dca86e2e15e0f48551c946972160c2c5 

FileHash-SHA256 

8372b173704cf8d8737e426b34efd43fba74c4fcb0a248f6ce72682ebc0bd916 

FileHash-SHA256 

8bae0fa9f589cd434a689eebd7a1fde949cc09e6a65e1b56bb620998246a1650 

FileHash-SHA256 

a2263d2af40140370f687f4936ef65b82d5f6c85df9e22dfc05ff677f8650ae1 

FileHash-SHA256 

a864282fea5a536510ae86c77ce46f7827687783628e4f2ceb5bf2c41b8cd3c6 

FileHash-SHA256 

ae939063c8f4ed91848fbdeff3ac98c17b404649706d7a3805c05e686b2e478c 

FileHash-SHA256 

bb07c89e9eb29817ca8a70f7c9430d5f4ad82eb525472abe8bad1b161a702584 

FileHash-SHA256 

bd5a37a8d2cdc44d60e5f550eb02e84fe41e380c341c404a4ffb71f9fc057e4a 

FileHash-SHA256 

c095497d1144ceca4cbbbeda19952322aa001e61318d6eecd4e97002f3cfc9aa 

FileHash-SHA256 

c2e7bf349214d1241cecd30748d392d9b585186fe5d38ec4b2b3d3304be206a3 

FileHash-SHA256 

cfe29f17a6a3df92015c8fc4c3d1365b40ab174322791c3643ed6480c1fb4349 

FileHash-SHA256 

d40461331f4511c27611f6cba2af831aaa0789990c8387f6ec7bc0bf54b10961 

FileHash-SHA256 

d4e4deab561d478084ac29751e5073de9b7ffd55fa8b408c5c76fedd3fe02f6c 

FileHash-SHA256 

d7ba9881345d71862a68080d210643e2c2d3e17fd13065385edcd3b3391898c3 

FileHash-SHA256 

d80239bb3299b1086f2ad5fc4690973604a770aafc84d21fecf0ae8004be9750 

FileHash-SHA256 

d9ffcca98671ccb2ff42d26d98be3b30b636930cc63149895b842f834871ebe3 

FileHash-SHA256 

e1be0e3707f67d03eaa8ac4b14b8b7cd7fc665f13a15aa8087b34cbde07116fd 

FileHash-SHA256 

e45802322835286cfe3993fe8e49a793acd705755d57d8fc007341bf3b842518 

FileHash-SHA256 

e60cab41b7602209c1660bc518b1f7b639ab45e60bbedf3b23757e4937c24fc4 

FileHash-SHA256 

f066cff7172a39cf7910142687ec877f428b4a352e16077a2fea712c525e932c 

FileHash-SHA256 

fd22df004b61809b110c6b4cbc9ddeb6df31edaa1f889ed501b4d516869e1efb 

FileHash-SHA256 

162.33.179.46 

IPv4 

64.95.10.243 

IPv4 

 

Recomendaciones

  • Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque 

  • Auditar herramientas de acceso remoto. (NIST CSF, 2024) 

  • Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024) 

  • Limitar estrictamente el uso de los protocolos SMB y RDP. 

  • Realizar auditorías de seguridad. (NIST CSF, 2024) 

  • Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)  

  • Tener filtros de correo electrónico y spam. 

  • Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social. 

  • Realizar copias de seguridad, respaldos o back-ups constantemente. 

  • Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos. 

  • Revisar continuamente los privilegios de los usuarios. 

  • Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante). 

  • Habilitar la autenticación multifactor. 

Referencias

  1. opRansomware: Rhysida Ransomware. (2025, Abril 30). CISA. Recuperado el 10 de Octubre de 2025, en: https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-319a 
  2. Trend Micro - United States (2024, Febrero 21). Ransomware Spotlight: Rhysida. Recuperado el 10 de Octubre de 2025, en:   https://www.trendmicro.com/vinfo/us/security/news/ransomware-spotlight/ransomware-spotlight-rhysida 

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Vulnerabilidad Alta en Microsoft Sharepoint Server
Publicado hace 2 semanas 29-05-2026

Microsoft ha publicado detalles sobre una vulnerabilidad de alta severidad en SharePoint Server que puede permitir la ejecución remota de código y comprometer entornos empresariales que usan implementaciones on‑premises. Registrada como CVE-2026-45659 y catalogad......

Grupo TeamPCP
Publicado hace 2 semanas 29-05-2026

TeamPCP es un grupo presente desde 2025, el cual se especializa en infraestructura en la nube. Se enfoca en ejecutar ataques a cadena de suministro en varias etapas, adaptándose a los diferentes sistemas. El grupo ha conseguido afectar ecosistemas completos, así com......

Campaña de Phishing a través de Teams (Orígenes externos)
Publicado hace 3 semanas 26-05-2026

...

BOLETINES RECIENTES

...
ShinyHunters explota zero-day en Oracle PeopleSoft (CVE-2026-35273) y filtra datos de instituciones educativas
Publicado hace 1 día 16-06-2026
Leer más
...
Vulnerabilidad Alta en Microsoft Sharepoint Server
Publicado hace 2 semanas 29-05-2026
Leer más
...
Grupo TeamPCP
Publicado hace 2 semanas 29-05-2026
Leer más