Rhysida ランサムウェアの戦術とテクニックは、悪名高い Vice Society ランサムウェア ギャングのものと似ています。 専門家は、Vice Society が独自のランサムウェアの亜種を使用しているのではないかと疑っています。
Check Point® Software Technologies Ltd の脅威インテリジェンス部門のセキュリティ研究者(NASDAQ: CHKP) は、このマルウェアを悪名高いランサムウェア集団に関連付けています。 Check Point のインシデント対応チームが報告したように、手順は多くの点で同じです。 これは、Vice Society が新しいランサムウェアを独占的に使用しているという意味ではありませんが、おそらく主に使用されていると考えられます。
健康と教育に対する攻撃
Vice Society は、2021 年以来最も攻撃的なランサムウェア ギャングの 640.000 つであり、主に教育と医療分野をターゲットにしています。 米国ロサンゼルス市では、幼稚園から12年生(高校)までの900万人以上の生徒が在籍する米国で190番目に大きい統一学区への攻撃に成功した。 XNUMX 以上の学校と XNUMX の独立した公立学校 (チャーター スクール) があります。 Vice Society はランサムウェアのペイロードを時々変更することが知られており、現在 Rhysida を使用していることが示唆されています。
Rhysida ランサムウェアの機能は次のとおりです。
リモート デスクトップ プロトコル: 侵入中に、ハッカーは RDP 接続を開始し、関連するログとレジストリ エントリを削除する措置を講じたため、検出と分析が困難になりました。 RDP は、IT 環境内で横方向の移動を実行するための効果的なアプローチであり続けます。
リモート PowerShell セッション (WinRM): RDP 経由でリモート接続しているときに、脅威アクターが環境内のサーバーへのリモート PowerShell 接続を開始していることが観察されました。 これは、ランサムウェア ペイロードが展開される数日前に発生しました。
PsExec: ランサムウェア ペイロード自体は、IT 環境内のサーバーから PsExec を使用して配布されました。 導入は XNUMX 段階で行われました。
コマンド PsExec.exe -d を使用して悪意のあるペイロードをコピーする
\\VICTIM_MACHINE -u "DOMAIN\ADMIN" -p "パスワード" -s cmd /c COPY "\\path_to_ransomware\payload.exe" "C:\windows\temp"
コマンド PsExec.exe -d を使用して悪意のあるペイロードを実行する
\\VICTIM_MACHINE -u "DOMAIN\ADMIN"" -p "Password" -s cmd /cc:\windows\temp\payload.exe。
2023 年 XNUMX 月以降の Rhysida ランサムウェア攻撃
Rhysida ランサムウェアは 2023 年 17 月に発見され、それ以来、チリ軍に対する攻撃など、さまざまな効果的な攻撃の原因として非難されてきました。 アメリカ合衆国(USA)では、Prospect Medical Holdings に対する攻撃の背後にあるとされており、166 の病院と XNUMX の診療所が影響を受けています。 その後、米国保健福祉省は、Rhysida ランサムウェアが医療に対する「重大な脅威」であると宣言しました。
詳細は CheckPoint.com をご覧ください
チェックポイントについて Check Point Software Technologies GmbH (www.checkpoint.com/de) は、世界中の行政機関や企業にサイバー セキュリティ ソリューションを提供する大手プロバイダーです。 このソリューションは、業界をリードするマルウェア、ランサムウェア、およびその他の種類の攻撃の検出率で、サイバー攻撃から顧客を保護します。 チェック・ポイントは、クラウド、ネットワーク、モバイル デバイス全体で企業情報を保護する多層セキュリティ アーキテクチャと、最も包括的で直感的な「ワンポイント コントロール」セキュリティ管理システムを提供します。 チェック・ポイントは、あらゆる規模の 100.000 以上の企業を保護しています。