Το FBI και η CISA προειδοποίησαν
σήμερα
για τις ευκαιριακές επιθέσεις της συμμορίας ransomware Rhysida που στοχεύουν οργανισμούς σε πολλούς τομείς της βιομηχανίας.
Η Rhysida, μια επιχείρηση ransomware που εμφανίστηκε τον Μάιο του 2023, κέρδισε γρήγορα τη φήμη μετά την παραβίαση του στρατού της Χιλής (Ejército de Chile) και τη
διαρροή
κλεμμένων δεδομένων στο διαδίκτυο.
Πρόσφατα, το Υπουργείο Υγείας και Ανθρωπίνων Υπηρεσιών των ΗΠΑ (HHS) προειδοποίησε επίσης ότι η συμμορία Rhysida ήταν υπεύθυνη για πρόσφατες επιθέσεις σε οργανισμούς υγειονομικής περίθαλψης.
Η σημερινή κοινή συμβουλευτική για την ασφάλεια στον κυβερνοχώρο παρέχει στους υπερασπιστές δείκτες συμβιβασμού (IOC), πληροφορίες ανίχνευσης και τακτικές, τεχνικές και διαδικασίες Rhysida (TTP) που ανακαλύφθηκαν κατά τη διάρκεια ερευνών από τον Σεπτέμβριο του 2023.
«Οι φορείς απειλών που αξιοποιούν το Rhysida ransomware είναι γνωστό ότι επηρεάζουν «στόχους ευκαιρίας», συμπεριλαμβανομένων των θυμάτων στους τομείς της εκπαίδευσης, της υγειονομικής περίθαλψης, της μεταποίησης, της τεχνολογίας πληροφοριών και της κυβέρνησης», οι δύο υπηρεσίες
διάσημος
.
«Παρατηρούμενοι ως
μοντέλο
ransomware-as-a-
service
(RaaS), οι παράγοντες της Rhysida έχουν θέσει σε κίνδυνο οργανισμούς στους τομείς της εκπαίδευσης, της κατασκευής, της τεχνολογίας πληροφοριών και της κυβέρνησης και τυχόν λύτρα που καταβάλλονται μοιράζονται μεταξύ του ομίλου και των θυγατρικών τους».
Οι εισβολείς της Rhysida έχουν επίσης εντοπιστεί εισβολείς σε εξωτερικές απομακρυσμένες υπηρεσίες (όπως VPN που επιτρέπουν στους εταιρικούς χρήστες να έχουν πρόσβαση σε εταιρικά περιουσιακά στοιχεία από εξωτερικές τοποθεσίες) χρησιμοποιώντας κλεμμένα διαπιστευτήρια για τη δημιουργία αρχικής πρόσβασης και τη διατήρηση της παρουσίας στα δίκτυα των θυμάτων.
Αυτό ήταν δυνατό όταν στόχευαν οργανισμούς που δεν είχαν ενεργοποιημένο από προεπιλογή τον έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) στο περιβάλλον τους.
Σημείωμα λύτρων Rhysida (BleepingComputer)
Επιπλέον
, οι κακόβουλοι παράγοντες της Rhysida είναι γνωστοί για επιθέσεις phishing και εκμεταλλεύονται το Zerologon (CVE-2020-1472), μια κρίσιμη ευπάθεια που επιτρέπει την κλιμάκωση των προνομίων των Windows εντός του Netlogon Remote Protocol της Microsoft.
Το FBI και η CISA προσθέτουν ότι οι θυγατρικές που σχετίζονται με την ομάδα ransomware Vice Society, που παρακολουθούνται από τη Microsoft ως
Vanilla Tempest ή DEV-0832
έχουν μεταβεί στη χρήση ωφέλιμων φορτίων ransomware Rhysida κατά τις επιθέσεις τους.
Σοφός
,
Έρευνα σημείου ελέγχου
και
PRODAFT
Η έρευνα σημείωσε ότι αυτή η αλλαγή συνέβη περίπου τον Ιούλιο του 2023, αμέσως αφότου η Rhysida άρχισε να προσθέτει θύματα στον ιστότοπό της για διαρροές δεδομένων.
Συνιστάται στους υπερασπιστές δικτύου να εφαρμόζουν μέτρα μετριασμού που περιγράφονται στη σημερινή κοινή συμβουλευτική για να ελαχιστοποιήσουν την πιθανότητα και τη σοβαρότητα περιστατικών ransomware όπως το Rhysida.
Τουλάχιστον, είναι ζωτικής σημασίας να δοθεί προτεραιότητα στην επιδιόρθωση των τρωτών σημείων υπό ενεργή εκμετάλλευση, επιτρέποντας το MFA σε όλες τις υπηρεσίες (ιδιαίτερα για το webmail, το VPN και τους κρίσιμους λογαριασμούς συστήματος) και τη χρήση τμηματοποίησης δικτύου για τον αποκλεισμό προσπαθειών πλευρικής μετακίνησης.
VIA:
bleepingcomputer.com