Cyberbedrohung: Rhysida-Ransomware

B2B Cyber Security ShortNews

Beitrag teilen

Taktiken und Techniken der Rhysida-Ransomware ähneln denen der berüchtigten Ransomware-Bande Vice Society. Experten vermuten, dass Vice Society eine eigene Variante der Ransomware nutzt. 

Sicherheitsforscher der Threat-Intelligence-Abteilung von Check Point® Software Technologies Ltd. (NASDAQ: CHKP) bringen die Malware mit einer berüchtigten Ransomware-Bande in Verbindung.  Die Vorgehensweisen sind in vielen Punkten gleich, wie das Incident Response Team von Check Point berichtete. Das bedeutet nicht, dass Vice Society exklusiv die neue Ransomware nutzt, aber wohl hauptsächlich.

Angriffe auf das Gesundheits- und Bildungswesen

Die Vice Society ist bisher eine der aggressivsten Ransomware-Banden seit 2021 gewesen, die vor allem das Bildungs- und Gesundheitswesen angriff. In der US-Stadt Los Angeles attackierte sie erfolgreich den Unified School District, welcher der zweitgrößte seiner Art der USA ist und über 640.000 Schüler zusammenfasst, vom Kindergarten bis zur 12. Klasse (High School). Dahinter stehen über 900 Schulen und 190 öffentliche Schulen freier Trägerschaft (Charter Schools). Vice Society ist dafür bekannt, die Ransomware-Nutzlast manchmal zu ändern, was dafür spricht, dass man nun Rhysida einsetzt.

Die Fähigkeiten der Rhysida-Ransomware umfassen:

Remote Desktop Protocol: Während des Eindringens initiierten die Hacker RDP-Verbindungen und unternahmen Schritte, um die zugehörigen Protokolle und Registrierungseinträge zu entfernen, was die Erkennung und Analyse erschwert. RDP ist nach wie vor ein effektiver Ansatz zur Durchführung seitlicher Bewegungen innerhalb der IT-Umgebung.

Remote PowerShell Sessions (WinRM): Während er über RDP eine Remote-Verbindung herstellte, wurde der Bedrohungsakteur dabei beobachtet, wie er Remote-PowerShell-Verbindungen zu Servern innerhalb der Umgebung initiierte. Dies geschah in den Tagen, bevor die Ransomware-Nutzlast eingesetzt wurde.

PsExec: Die Ransomware-Nutzlast selbst wurde mit PsExec von einem Server innerhalb der IT-Umgebung verteilt. Die Bereitstellung erfolgte in zwei Phasen.
Copying the malicious payload using the command PsExec.exe -d
\\VICTIM_MACHINE -u "DOMAIN\ADMIN" -p "Password" -s cmd /c COPY "\\path_to_ransomware\payload.exe" "C:\windows\temp"
Executing the malicious payload using the command PsExec.exe -d
\\VICTIM_MACHINE -u "DOMAIN\ADMIN"" -p "Password" -s cmd /c c:\windows\temp\payload.exe.

Rhysida-Ransomware-Attacken seit Mai 2023

Entdeckt wurde die Rhysida-Ransomware im Mai 2023 und seitdem wird sie für verschiedene wirkungsvolle Attacken verantwortlich gemacht, wie den Angriff gegen die chilenische Armee. In den Vereinigten Staaten von Amerika (USA), steckt sie angeblich hinter einer Attacke gegen Prospect Medical Holdings, wodurch 17 Hospitäler und 166 Kliniken betroffen waren. Daraufhin erhob das US-Gesundheitsministerium die Rhysida-Ransomware zur „signifikanten Bedrohung“ des Gesundheitswesens.

Mehr bei CheckPoint.com

 


Über Check Point

Check Point Software Technologies GmbH (www.checkpoint.com/de) ist ein führender Anbieter von Cybersicherheits-Lösungen für öffentliche Verwaltungen und Unternehmen weltweit. Die Lösungen schützen Kunden vor Cyberattacken mit einer branchenführenden Erkennungsrate von Malware, Ransomware und anderen Arten von Attacken. Check Point bietet eine mehrstufige Sicherheitsarchitektur, die Unternehmensinformationen in CloudUmgebungen, Netzwerken und auf mobilen Geräten schützt sowie das umfassendste und intuitivste „One Point of Control“-Sicherheits-Managementsystem. Check Point schützt über 100.000 Unternehmen aller Größen.


 

Passende Artikel zum Thema

Komplexe IT-Sicherheit: 450 Endgeräte – 3 IT-Mitarbeiter

Viele Unternehmen verwenden mehrere Sicherheitslösungen gleichzeitig. Das führt zu einer hohen Komplexität. Malwarebytes hat in einer internationalen Umfrage 50 Unternehmen ➡ Weiterlesen

Microsoft schickt Kunden Warnung per E-Mail die wie Spam aussieht

Nach der Attacke von Midnight Blizzard im Januar warnte nun Microsoft seine Kunden im Juni per Erklärungs-E-Mail. Dumm nur, dass ➡ Weiterlesen

Telegram: 361 Millionen Nutzerdaten geleakt

Cyberkriminelle haben Millionen von E-Mail-Adressen sowie Benutzernamen und Passwörter von Online-Konten in Kanälen des Messenger-Dienstes Telegram veröffentlicht, so der Betreiber ➡ Weiterlesen

EU ATM Malware greift Geldautomaten an

Geldautomaten sind ein beliebtes Angriffsziel für Cyberkriminelle. Die neue EU ATM Malware hat es auf europäische Bankomaten abgesehen. Kriminelle können ➡ Weiterlesen

BSI-Kriterien: Mehrschichtiger Schutz vor DDoS-Attacken

Angesichts der zunehmenden Anzahl und Intensität von DDoS-Angriffen hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) Kriterien zur Identifikation ➡ Weiterlesen

RAG-Entwicklung in nur wenigen Minuten

Playground ist die neue, codearme Benutzeroberfläche von Elastic, der Search AI Company. Damit können Entwickler:innen mit Elasticsearch in nur wenigen ➡ Weiterlesen

KI in der Cybersicherheit: Waffe und Heilmittel zugleich

Viele IT-Sicherheitsexperten sind sich einig, dass generative KI DIE Lösung gegen immer komplexere Cyberattacken ist. KI könnte die Lücke schließen, ➡ Weiterlesen

Massenhafte Attacken gegen Edge-Dienste

Die Cyber-Bedrohungslandschaft in den Jahren 2023 und 2024 wird von Massenangriffen dominiert. Ein früherer Bericht über die Professionalisierung der Cyberkriminalität ➡ Weiterlesen