Taktiken und Techniken der Rhysida-Ransomware ähneln denen der berüchtigten Ransomware-Bande Vice Society. Experten vermuten, dass Vice Society eine eigene Variante der Ransomware nutzt.
Sicherheitsforscher der Threat-Intelligence-Abteilung von Check Point® Software Technologies Ltd. (NASDAQ: CHKP) bringen die Malware mit einer berüchtigten Ransomware-Bande in Verbindung. Die Vorgehensweisen sind in vielen Punkten gleich, wie das Incident Response Team von Check Point berichtete. Das bedeutet nicht, dass Vice Society exklusiv die neue Ransomware nutzt, aber wohl hauptsächlich.
Angriffe auf das Gesundheits- und Bildungswesen
Die Vice Society ist bisher eine der aggressivsten Ransomware-Banden seit 2021 gewesen, die vor allem das Bildungs- und Gesundheitswesen angriff. In der US-Stadt Los Angeles attackierte sie erfolgreich den Unified School District, welcher der zweitgrößte seiner Art der USA ist und über 640.000 Schüler zusammenfasst, vom Kindergarten bis zur 12. Klasse (High School). Dahinter stehen über 900 Schulen und 190 öffentliche Schulen freier Trägerschaft (Charter Schools). Vice Society ist dafür bekannt, die Ransomware-Nutzlast manchmal zu ändern, was dafür spricht, dass man nun Rhysida einsetzt.
Die Fähigkeiten der Rhysida-Ransomware umfassen:
Remote Desktop Protocol: Während des Eindringens initiierten die Hacker RDP-Verbindungen und unternahmen Schritte, um die zugehörigen Protokolle und Registrierungseinträge zu entfernen, was die Erkennung und Analyse erschwert. RDP ist nach wie vor ein effektiver Ansatz zur Durchführung seitlicher Bewegungen innerhalb der IT-Umgebung.
Remote PowerShell Sessions (WinRM): Während er über RDP eine Remote-Verbindung herstellte, wurde der Bedrohungsakteur dabei beobachtet, wie er Remote-PowerShell-Verbindungen zu Servern innerhalb der Umgebung initiierte. Dies geschah in den Tagen, bevor die Ransomware-Nutzlast eingesetzt wurde.
PsExec: Die Ransomware-Nutzlast selbst wurde mit PsExec von einem Server innerhalb der IT-Umgebung verteilt. Die Bereitstellung erfolgte in zwei Phasen.
Copying the malicious payload using the command PsExec.exe -d
\\VICTIM_MACHINE -u "DOMAIN\ADMIN" -p "Password" -s cmd /c COPY "\\path_to_ransomware\payload.exe" "C:\windows\temp"
Executing the malicious payload using the command PsExec.exe -d
\\VICTIM_MACHINE -u "DOMAIN\ADMIN"" -p "Password" -s cmd /c c:\windows\temp\payload.exe.
Rhysida-Ransomware-Attacken seit Mai 2023
Entdeckt wurde die Rhysida-Ransomware im Mai 2023 und seitdem wird sie für verschiedene wirkungsvolle Attacken verantwortlich gemacht, wie den Angriff gegen die chilenische Armee. In den Vereinigten Staaten von Amerika (USA), steckt sie angeblich hinter einer Attacke gegen Prospect Medical Holdings, wodurch 17 Hospitäler und 166 Kliniken betroffen waren. Daraufhin erhob das US-Gesundheitsministerium die Rhysida-Ransomware zur „signifikanten Bedrohung“ des Gesundheitswesens.
Mehr bei CheckPoint.com
Über Check Point Check Point Software Technologies GmbH (www.checkpoint.com/de) ist ein führender Anbieter von Cybersicherheits-Lösungen für öffentliche Verwaltungen und Unternehmen weltweit. Die Lösungen schützen Kunden vor Cyberattacken mit einer branchenführenden Erkennungsrate von Malware, Ransomware und anderen Arten von Attacken. Check Point bietet eine mehrstufige Sicherheitsarchitektur, die Unternehmensinformationen in CloudUmgebungen, Netzwerken und auf mobilen Geräten schützt sowie das umfassendste und intuitivste „One Point of Control“-Sicherheits-Managementsystem. Check Point schützt über 100.000 Unternehmen aller Größen.