Le tattiche e le tecniche del ransomware Rhysida sono simili a quelle della famigerata banda di ransomware Vice Society. Gli esperti sospettano che Vice Society stia utilizzando una propria variante di ransomware.
Ricercatori di sicurezza del Threat Intelligence Department di Check Point® Software Technologies Ltd. (NASDAQ: CHKP) collegano il malware a una famigerata banda di ransomware. Le procedure sono le stesse sotto molti aspetti, come riportato dall'Incident Response Team di Check Point. Ciò non significa che Vice Society stia utilizzando il nuovo ransomware esclusivamente, ma probabilmente principalmente.
Attacchi alla sanità e all’istruzione
Vice Society è stata una delle bande di ransomware più aggressive dal 2021, prendendo di mira principalmente i settori dell'istruzione e della sanità. Nella città americana di Los Angeles ha attaccato con successo il distretto scolastico unificato, che è il secondo più grande del suo genere negli Stati Uniti e comprende oltre 640.000 studenti dalla scuola materna alla scuola superiore. Ci sono oltre 12 scuole e 900 scuole pubbliche indipendenti (scuole charter). È noto che Vice Society a volte modifica il payload del ransomware, il che suggerisce che ora stia utilizzando Rhysida.
Le funzionalità del ransomware Rhysida includono:
Protocollo desktop remoto: Durante l'intrusione, gli hacker hanno avviato connessioni RDP e hanno adottato misure per rimuovere i registri e le voci di registro associati, rendendo difficile il rilevamento e l'analisi. L'RDP rimane un approccio efficace per eseguire movimenti laterali all'interno dell'ambiente IT.
Sessioni remote di PowerShell (WinRM): Durante la connessione remota tramite RDP, è stato osservato che l'autore della minaccia avviava connessioni PowerShell remote ai server all'interno dell'ambiente. Ciò è accaduto nei giorni precedenti la distribuzione del payload del ransomware.
PsExec: Il payload del ransomware stesso è stato distribuito utilizzando PsExec da un server all'interno dell'ambiente IT. L'implementazione è avvenuta in due fasi.
Copia del payload dannoso utilizzando il comando PsExec.exe -d
\\VICTIM_MACHINE -u "DOMINIO\ADMIN" -p "Password" -s cmd /c COPY "\\percorso_ransomware\payload.exe" "C:\windows\temp"
Esecuzione del payload dannoso utilizzando il comando PsExec.exe -d
\\VICTIM_MACHINE -u "DOMINIO\ADMIN"" -p "Password" -s cmd /cc:\windows\temp\payload.exe.
Attacchi ransomware Rhysida da maggio 2023
Il ransomware Rhysida è stato scoperto nel maggio 2023 e da allora è stato accusato di diversi attacchi efficaci, tra cui l'attacco contro l'esercito cileno. Negli Stati Uniti d'America (USA) sarebbe responsabile dell'attacco contro la Prospect Medical Holdings, che ha colpito 17 ospedali e 166 cliniche. Il Dipartimento della Salute e dei Servizi Umani degli Stati Uniti ha successivamente dichiarato il ransomware Rhysida una “minaccia significativa” per l’assistenza sanitaria.
Altro su CheckPoint.com
Informazioni sul punto di controllo Check Point Software Technologies GmbH (www.checkpoint.com/de) è un fornitore leader di soluzioni di sicurezza informatica per pubbliche amministrazioni e aziende in tutto il mondo. Le soluzioni proteggono i clienti dagli attacchi informatici con un tasso di rilevamento leader del settore di malware, ransomware e altri tipi di attacchi. Check Point offre un'architettura di sicurezza a più livelli che protegge le informazioni aziendali su cloud, rete e dispositivi mobili e il sistema di gestione della sicurezza "un punto di controllo" più completo e intuitivo. Check Point protegge oltre 100.000 aziende di tutte le dimensioni.