Cyberbedrohung: Rhysida-Ransomware

B2B Cyber Security ShortNews

Beitrag teilen

Taktiken und Techniken der Rhysida-Ransomware ähneln denen der berüchtigten Ransomware-Bande Vice Society. Experten vermuten, dass Vice Society eine eigene Variante der Ransomware nutzt. 

Sicherheitsforscher der Threat-Intelligence-Abteilung von Check Point® Software Technologies Ltd. (NASDAQ: CHKP) bringen die Malware mit einer berüchtigten Ransomware-Bande in Verbindung.  Die Vorgehensweisen sind in vielen Punkten gleich, wie das Incident Response Team von Check Point berichtete. Das bedeutet nicht, dass Vice Society exklusiv die neue Ransomware nutzt, aber wohl hauptsächlich.

Anzeige

Angriffe auf das Gesundheits- und Bildungswesen

Die Vice Society ist bisher eine der aggressivsten Ransomware-Banden seit 2021 gewesen, die vor allem das Bildungs- und Gesundheitswesen angriff. In der US-Stadt Los Angeles attackierte sie erfolgreich den Unified School District, welcher der zweitgrößte seiner Art der USA ist und über 640.000 Schüler zusammenfasst, vom Kindergarten bis zur 12. Klasse (High School). Dahinter stehen über 900 Schulen und 190 öffentliche Schulen freier Trägerschaft (Charter Schools). Vice Society ist dafür bekannt, die Ransomware-Nutzlast manchmal zu ändern, was dafür spricht, dass man nun Rhysida einsetzt.

Die Fähigkeiten der Rhysida-Ransomware umfassen:

Remote Desktop Protocol: Während des Eindringens initiierten die Hacker RDP-Verbindungen und unternahmen Schritte, um die zugehörigen Protokolle und Registrierungseinträge zu entfernen, was die Erkennung und Analyse erschwert. RDP ist nach wie vor ein effektiver Ansatz zur Durchführung seitlicher Bewegungen innerhalb der IT-Umgebung.

Remote PowerShell Sessions (WinRM): Während er über RDP eine Remote-Verbindung herstellte, wurde der Bedrohungsakteur dabei beobachtet, wie er Remote-PowerShell-Verbindungen zu Servern innerhalb der Umgebung initiierte. Dies geschah in den Tagen, bevor die Ransomware-Nutzlast eingesetzt wurde.

PsExec: Die Ransomware-Nutzlast selbst wurde mit PsExec von einem Server innerhalb der IT-Umgebung verteilt. Die Bereitstellung erfolgte in zwei Phasen.
Copying the malicious payload using the command PsExec.exe -d
\\VICTIM_MACHINE -u "DOMAIN\ADMIN" -p "Password" -s cmd /c COPY "\\path_to_ransomware\payload.exe" "C:\windows\temp"
Executing the malicious payload using the command PsExec.exe -d
\\VICTIM_MACHINE -u "DOMAIN\ADMIN"" -p "Password" -s cmd /c c:\windows\temp\payload.exe.

Rhysida-Ransomware-Attacken seit Mai 2023

Entdeckt wurde die Rhysida-Ransomware im Mai 2023 und seitdem wird sie für verschiedene wirkungsvolle Attacken verantwortlich gemacht, wie den Angriff gegen die chilenische Armee. In den Vereinigten Staaten von Amerika (USA), steckt sie angeblich hinter einer Attacke gegen Prospect Medical Holdings, wodurch 17 Hospitäler und 166 Kliniken betroffen waren. Daraufhin erhob das US-Gesundheitsministerium die Rhysida-Ransomware zur „signifikanten Bedrohung“ des Gesundheitswesens.

Mehr bei CheckPoint.com

 


Über Check Point

Check Point Software Technologies GmbH (www.checkpoint.com/de) ist ein führender Anbieter von Cybersicherheits-Lösungen für öffentliche Verwaltungen und Unternehmen weltweit. Die Lösungen schützen Kunden vor Cyberattacken mit einer branchenführenden Erkennungsrate von Malware, Ransomware und anderen Arten von Attacken. Check Point bietet eine mehrstufige Sicherheitsarchitektur, die Unternehmensinformationen in CloudUmgebungen, Netzwerken und auf mobilen Geräten schützt sowie das umfassendste und intuitivste „One Point of Control“-Sicherheits-Managementsystem. Check Point schützt über 100.000 Unternehmen aller Größen.


 

Passende Artikel zum Thema

Cyberkriminelle missbrauchen DeepSeek für Betrugsmaschen

Mit dem Fortschritt künstlicher Intelligenz entwickeln sich auch die Methoden von Cyberkriminellen weiter. Der jüngste Anstieg KI-gestützter Betrugsmaschen rund um ➡ Weiterlesen

Cyber-Security-Report: Angriffe 2024 um 44 Prozent gestiegen

Die Gefahren durch Cyber-Kriminelle nehmen zu, vor allem durch den Einsatz generativer KI, so das Ergebnis des Cyber-Security-Reports 2025. Zu ➡ Weiterlesen

Warnung vor chinesischer Ransomware-Bande Ghost

Die US-amerikanischen Behörden CISA, FBI und das Multi-State Information Sharing and Analysis Center (MS-ISAC) haben gemeinsam eine Analyse der Aktivitäten ➡ Weiterlesen

Cyberattacken gegen das Landesdatennet in Thüringen

Das Landesdatennetz in Thüringen muss vielfältige digitale Angriffe abwehren. Teilweise gab es im vergangenen Jahr gezielte Attacken auf Systeme der ➡ Weiterlesen

PlushDaemon: Neue chinesische APT-Gruppe entdeckt

Die chinesische APT-Hackergruppe PlushDaemon greift sowohl Unternehmen als auch Privatnutzer auf der ganzen Welt an. Mit dem Backdoor "Slow Stepper" ➡ Weiterlesen

Phishing: Neue Attacken über kompromittierte Reisebüro-Konten

Aktuell nutzen Cyberkriminelle die Konten einer bekannten Reiseagentur, um Phishing-Mails in Umlauf zu bringen und auf diese Weise Schadsoftware zu ➡ Weiterlesen

Deutsche Unternehmensnetzwerke von Angriffen bedroht

Laut einer aktuellen IT-Sicherheitsstudie ist das Unternehmensnetzwerk jeder zweiten deutschen Organisation Ziel von Cyberangriffen. Bei rund 40 Prozent von ihnen ➡ Weiterlesen

Cyberangriff auf Staatsregierung und Polizei

Nach Informationen des BR kam es zu einem stundenlangen Cyberangriff auf Webseiten von Staatsregierung und Polizei. Das Landesamt für Sicherheit ➡ Weiterlesen