Security

Η εβδομάδα στο Ransomware – 11 Αυγούστου 2023

On

Αυγ 12, 2023

Ενώ ορισμένες επιχειρήσεις

ransomware

ισχυρίζονται ότι δεν στοχεύουν νοσοκομεία, μια σχετικά νέα συμμορία ransomware που ονομάζεται Rhysida δεν φαίνεται να ενδιαφέρεται.

Η Rhysida ξεκίνησε τον Μάιο του 2023, όταν γρήγορα άρχισε να φτιάχνει όνομα καθώς έκανε αδιάκριτες επιθέσεις σε νοσοκομεία, επιχειρήσεις, ακόμη και κρατικούς φορείς.

Η ομάδα έγινε γνωστή για πρώτη φορά αφού επιτέθηκε στον Χιλιανό Στρατό (Ejército de Chile) και διέρρευσε κλεμμένα δεδομένα.

Τώρα η συμμορία ransomware γίνεται πρωτοσέλιδο λόγω της στόχευσης της υγειονομικής περίθαλψης, με την ομάδα να πιστεύεται ότι βρίσκεται πίσω από τις επιθέσεις στην Prospect

Medical

Group, επηρεάζοντας 17 νοσοκομεία και 166 κλινικές σε όλες τις Ηνωμένες Πολιτείες.

Αυτό οδήγησε σε σωρεία αναφορών που κυκλοφόρησαν από την

Υπουργείο Υγείας και Ανθρωπίνων Υπηρεσιών των ΗΠΑ

,

Trend Micro

,

Cisco Talos

και

Έρευνα σημείου ελέγχου

.

Είδαμε επίσης πρόσθετες αναφορές για ransomware σχετικά

Εταιρεία-στόχος

,

διαρροές κώδικα που επηρεάζουν το οικοσύστημα RaaS

και ένας νέος παράγοντας απειλής που χρησιμοποιεί α

προσαρμοσμένη έκδοση του ransomware Yashma

.

Σε άλλες ειδήσεις, συνεχίζουμε να βλέπουμε τις συνέπειες από τις επιθέσεις κλοπής δεδομένων MOVEit του Clop, με το Τμήμα Κοινωνικών Υπηρεσιών του Μιζούρι να προειδοποιεί ότι τα δεδομένα κλάπηκαν από τον διακομιστή MOVEit της IBM.

Τελικά,

Europol

και

το Υπουργείο Δικαιοσύνης των ΗΠΑ

ανακοίνωσε την κατάργηση του αλεξίσφαιρου παρόχου φιλοξενίας LOLEKHosted, λέγοντας ότι ένας από τους συλληφθέντες διαχειριστές διευκόλυνε επιθέσεις ransomware στο Netwalker φιλοξενώντας διακομιστές αποθήκευσης για τη συμμορία.

Οι συνεισφέροντες και εκείνοι που παρείχαν νέες πληροφορίες και ιστορίες ransomware αυτήν την εβδομάδα περιλαμβάνουν:

@Seifreed

,

@struppigel

,

@Ionut_Ilascu

,

@serghei

,

@LawrenceAbrams

,

@malwrhunterteam

,

@billtoulas

,

@demonslay335

,

@BleepinComputer

,

@HHSGov

,

@TrendMicro

,

@TalosSecurity

,

@_CPResearch_

,

@IRS_CI

και

@pcrisk

.

7 Αυγούστου 2023

Ο νέος παράγοντας απειλών στοχεύει τη Βουλγαρία, την Κίνα, το Βιετνάμ και άλλες χώρες με προσαρμοσμένο ransomware Yashma

Ο Talos αξιολογεί με μεγάλη σιγουριά ότι αυτός ο παράγοντας απειλής στοχεύει θύματα σε αγγλόφωνες χώρες, Βουλγαρία, Κίνα και Βιετνάμ, καθώς ο λογαριασμός GitHub του ηθοποιού, «nguyenvietphat», έχει σημειώσεις ransomware γραμμένες στις γλώσσες αυτών των χωρών. Η παρουσία μιας αγγλικής έκδοσης θα μπορούσε να υποδηλώνει ότι ο ηθοποιός σκοπεύει να στοχεύσει σε ένα ευρύ φάσμα γεωγραφικών περιοχών.

Οι διαρροές κώδικα προκαλούν εισροή νέων παραγόντων ransomware

Οι συμμορίες ransomware αλλάζουν συνεχώς επωνυμία ή συγχωνεύονται με άλλες ομάδες, όπως επισημαίνεται στην Ανασκόπηση του Έτους 2022, ή αυτοί οι ηθοποιοί εργάζονται για πολλαπλές εξαρτήσεις ransomware-as-a-service (RaaS) ταυτόχρονα και νέες ομάδες εμφανίζονται πάντα.

Η TargetCompany Ransomware καταχράται FUD Obfuscator Packers

Βρήκαμε αναπτύξεις ενεργών καμπανιών που συνδυάζουν τον trojan απομακρυσμένης πρόσβασης (RAT) Remcos και το ransomware TargetCompany νωρίτερα φέτος. Συγκρίναμε αυτές τις αναπτύξεις με προηγούμενα δείγματα και βρήκαμε ότι αυτές οι αναπτύξεις εφαρμόζουν πλήρως μη ανιχνεύσιμους συσκευαστές (FUD) στα δυαδικά τους αρχεία. Συνδυάζοντας δεδομένα τηλεμετρίας και πηγές κυνηγιού εξωτερικών απειλών, μπορέσαμε να συλλέξουμε πρώιμα δείγματα αυτών υπό ανάπτυξη. Πρόσφατα, βρήκαμε ένα θύμα στο οποίο χρησιμοποιήθηκε αυτή η τεχνική και στόχευε ειδικά.

Νέες παραλλαγές ransomware STOP

PCrisk

βρήκε νέες παραλλαγές ransomware STOP που προσαρτούν το

.yyza

και

.yytw

επεκτάσεις.

Νέα παραλλαγή ransomware Dharma

Το PCrisk βρήκε μια νέα παραλλαγή Ντάρμα που προσαρτά το

.GPT

επέκταση.

8 Αυγούστου 2023

ΤΟ RHYSIDA RANSOMWARE: ΑΝΑΛΥΣΗ ΔΡΑΣΤΗΡΙΟΤΗΤΑΣ ΚΑΙ ΔΕΣΜΟΙ ΜΕ ΤΗΝ ΑΝΤΙΠΡΟΣΩΠΗ ΚΟΙΝΩΝΙΑ

Η ομάδα ransomware Rhysida αποκαλύφθηκε για πρώτη φορά τον Μάιο του τρέχοντος έτους και έκτοτε έχει συνδεθεί με πολλές επιρροές εισβολές, συμπεριλαμβανομένης μιας επίθεσης στον στρατό της Χιλής. Πρόσφατα, η ομάδα συνδέθηκε επίσης με μια επίθεση εναντίον της Prospect Medical Holdings, επηρεάζοντας 17 νοσοκομεία και 166 κλινικές σε όλες τις Ηνωμένες Πολιτείες. Μετά από αυτή την επίθεση, το Υπουργείο Υγείας και Ανθρωπίνων Υπηρεσιών των ΗΠΑ όρισε το Rhysida ως σημαντική απειλή για τον τομέα της υγειονομικής περίθαλψης.

Τι γνωρίζει η Cisco Talos για το Rhysida ransomware

Η

Cisco

Talos γνωρίζει την πρόσφατη συμβουλή που δημοσιεύτηκε από το Υπουργείο Υγείας και Ανθρωπίνων Υπηρεσιών των ΗΠΑ (HHS) που προειδοποιεί τη βιομηχανία υγειονομικής περίθαλψης σχετικά με τη δραστηριότητα ransomware Rhysida.

Νέα παραλλαγή Xorist

Το PCrisk βρήκε μια νέα παραλλαγή Xorist ransomware που προσαρτά το

.Πρωτόνιο

επέκταση και ρίχνει ένα σημείωμα λύτρων με το όνομα

ΠΩΣ ΝΑ ΑΠΟΚΡΥΠΤΩΣΕΤΕ ΑΡΧΕΙΑ.txt

.

9 Αυγούστου 2023

Το Μιζούρι προειδοποιεί ότι κλάπηκαν πληροφορίες υγείας λόγω παραβίασης δεδομένων του IBM MOVEit

Το Τμήμα Κοινωνικών Υπηρεσιών του Μιζούρι προειδοποιεί ότι οι προστατευμένες πληροφορίες υγειονομικής περίθαλψης του Medicaid εκτέθηκαν σε παραβίαση δεδομένων μετά την επίθεση της IBM σε κλοπή δεδομένων MOVEit.

Rhysida ransomware πίσω από πρόσφατες επιθέσεις στην υγειονομική περίθαλψη

Η επιχείρηση ransomware Rhysida κάνει όνομα μετά από ένα κύμα επιθέσεων σε οργανισμούς υγειονομικής περίθαλψης που ανάγκασε τις κυβερνητικές υπηρεσίες και τις εταιρείες κυβερνοασφάλειας να δώσουν μεγαλύτερη προσοχή στις δραστηριότητές της.

Μια επισκόπηση του νέου Ransomware Rhysida που στοχεύει τον τομέα της υγειονομικής περίθαλψης

Στις 4 Αυγούστου 2023, το Κέντρο Συντονισμού Κυβερνοασφάλειας του Τομέα Υγείας του HHS (HC3) δημοσίευσε μια ειδοποίηση ασφαλείας σχετικά με ένα σχετικά νέο ransomware που ονομάζεται Rhysida (ανιχνεύεται ως Ransom.PS1.RHYSIDA.SM), το οποίο είναι ενεργό από τον Μάιο του 2023. Σε αυτό καταχώριση ιστολογίου, θα παρέχουμε λεπτομέρειες για το Rhysida, συμπεριλαμβανομένων των στόχων του και τι γνωρίζουμε για την αλυσίδα μόλυνσης του.

10 Αυγούστου 2023

Νέο ransomware του Χάρβαρντ

Το PCrisk βρήκε μια νέα παραλλαγή ransomware που προσαρτά το

.σκληρός

επέκταση.

11 Αυγούστου 2023

Ο διαχειριστής του LOLEKHosted συνελήφθη επειδή βοήθησε τη συμμορία ransomware του Netwalker

Η αστυνομία απέσυρε τον αλεξίσφαιρο πάροχο φιλοξενίας Lolek, συλλαμβάνοντας πέντε άτομα και κατέσχεσε διακομιστές για φερόμενη διευκόλυνση επιθέσεων ransomware στο Netwalker και άλλες κακόβουλες δραστηριότητες.