Тактика та прийоми програм-вимагачів Rhysida схожі на тактику сумнозвісної банди програм-вимагачів Vice Society. Експерти підозрюють, що Vice Society використовує власний варіант програми-вимагача.
Дослідники безпеки з відділу аналізу загроз компанії Check Point® Software Technologies Ltd. (NASDAQ: CHKP) пов’язують зловмисне програмне забезпечення з горезвісною бандою програм-вимагачів. Як повідомила команда реагування на інциденти Check Point, процедури багато в чому однакові. Це не означає, що Vice Society використовує нове програмне забезпечення-вимагач виключно, але, ймовірно, переважно.
Атаки на здоров'я та освіту
Vice Society є однією з найагресивніших груп програм-вимагачів з 2021 року, головним чином націленими на сфери освіти та охорони здоров’я. В американському місті Лос-Анджелес він успішно атакував Об’єднаний шкільний округ, який є другим за величиною у своєму роді в США і включає понад 640.000 12 учнів від дитячого садка до 900-го класу (середньої школи). Існує понад 190 шкіл і XNUMX незалежних державних шкіл (чартерних шкіл). Відомо, що Vice Society іноді змінює корисне навантаження програми-вимагача, що свідчить про те, що зараз вона використовує Rhysida.
Можливості програми-вимагача Rhysida включають:
Протокол віддаленого робочого столу: Під час вторгнення хакери ініціювали з’єднання RDP і вжили заходів для видалення пов’язаних журналів і записів реєстру, ускладнюючи виявлення та аналіз. RDP залишається ефективним підходом до виконання бокового руху в ІТ-середовищі.
Віддалені сеанси PowerShell (WinRM): Під час віддаленого підключення через RDP було помічено, що зловмисник ініціював віддалені підключення PowerShell до серверів у середовищі. Це сталося за кілька днів до розгортання програми-вимагача.
PsExec: Сама програма-вимагач розповсюджувалася за допомогою PsExec із сервера в ІТ-середовищі. Розгортання відбувалося в два етапи.
Копіювання шкідливого корисного навантаження за допомогою команди PsExec.exe -d
\\VICTIM_MACHINE -u "ДОМЕН\АДМІНІСТРАТОР" -p "Пароль" -s cmd /c КОПІЮВАТИ "\\шлях_до_ransomware\payload.exe" "C:\windows\temp"
Виконання зловмисного корисного навантаження за допомогою команди PsExec.exe -d
\\VICTIM_MACHINE -u "ДОМЕН\АДМІНІСТРАТОР" -p "Пароль" -s cmd /cc:\windows\temp\payload.exe.
Атаки програм-вимагачів Rhysida починаються з травня 2023 року
Програмне забезпечення-вимагач Rhysida було виявлено в травні 2023 року, і з тих пір його звинувачують у різних ефективних атаках, таких як атака на чилійську армію. У Сполучених Штатах Америки (США) він нібито стоїть за атакою на Prospect Medical Holdings, яка зачепила 17 лікарень і 166 клінік. Згодом Міністерство охорони здоров’я та соціальних служб США оголосило програму-вимагач Rhysida «суттєвою загрозою» для охорони здоров’я.
Більше на CheckPoint.com
Про КПП Check Point Software Technologies GmbH (www.checkpoint.com/de) є провідним постачальником рішень кібербезпеки для державних адміністрацій і компаній у всьому світі. Рішення захищають клієнтів від кібератак за допомогою найкращого в галузі рівня виявлення шкідливих програм, програм-вимагачів та інших типів атак. Check Point пропонує багаторівневу архітектуру безпеки, яка захищає корпоративну інформацію в хмарі, мережі та на мобільних пристроях, а також найповнішу та інтуїтивно зрозумілу систему керування безпекою «одна точка контролю». Check Point захищає понад 100.000 XNUMX компаній різного розміру.