FBI ve CISA bugün Rhysida fidye yazılımı çetesinin birden fazla endüstri sektöründeki kuruluşları hedef alan fırsatçı saldırıları konusunda uyardı.
Mayıs 2023’te ortaya çıkan bir fidye yazılımı kuruluşu olan Rhysida, Şili Ordusu’na (Ejército de Chile) girip çalınan verileri internete sızdırdıktan sonra hızla ün kazandı.
Son zamanlarda ABD Sağlık ve İnsan Hizmetleri Bakanlığı (HHS) da sağlık kuruluşlarına yönelik son saldırılardan Rhysida çetesinin sorumlu olduğu konusunda uyardı.
Bugünkü ortak siber güvenlik danışmanlığı, savunuculara Eylül 2023 itibarıyla soruşturmalar sırasında keşfedilen risk göstergeleri (IOC’ler), tespit bilgileri ve Rhysida taktikleri, teknikleri ve prosedürleri (TTP’ler) sağlıyor.
İki kurum, “Rhysida fidye yazılımından yararlanan tehdit aktörlerinin eğitim, sağlık, üretim, bilgi teknolojisi ve devlet sektörlerindeki kurbanlar da dahil olmak üzere ‘fırsat hedeflerini’ etkilediği biliniyor” dedi.
“Hizmet olarak fidye yazılımı (RaaS) modeli olarak gözlemlenen Rhysida aktörleri, eğitim, üretim, bilgi teknolojisi ve devlet sektörlerindeki kuruluşları tehlikeye attı ve ödenen fidye, grup ve bağlı kuruluşlar arasında paylaştırılıyor.”
Rhysida saldırganlarının, ilk erişimi oluşturmak ve kurbanların ağlarında varlıklarını sürdürmek için çalıntı kimlik bilgilerini kullanarak dışarıya yönelik uzak hizmetlere (kurumsal kullanıcıların harici konumlardan şirket varlıklarına erişmesine olanak tanıyan VPN’ler gibi) sızmaya çalıştığı da tespit edildi.
Bu, ortamlarında varsayılan olarak Çok Faktörlü Kimlik Doğrulamanın (MFA) etkin olmadığı kuruluşlar hedeflenirken mümkün oldu.
Ayrıca, Rhysida kötü niyetli aktörlerinin kimlik avı saldırıları ve Microsoft’un Netlogon Uzaktan Protokolü içinde Windows ayrıcalığının yükseltilmesini sağlayan kritik bir güvenlik açığı olan Zerologon’dan (CVE-2020-1472) yararlanmalarıyla biliniyor.
FBI ve CISA, Microsoft tarafından Vanilla Tempest veya DEV-0832 olarak takip edilen Vice Society fidye yazılımı grubuyla bağlantılı kuruluşların, saldırıları sırasında Rhysida fidye yazılımı yüklerini kullanmaya başladıklarını ekliyor.
Sophos, Kontrol Noktası Araştırması ve ÜRÜN Araştırmalar, bu değişimin yaklaşık olarak Temmuz 2023’te, Rhysida’nın kurbanları veri sızıntısı web sitesine eklemeye başlamasından hemen sonra gerçekleştiğini kaydetti.
Ağ savunucularına, Rhysida gibi fidye yazılımı olaylarının olasılığını ve ciddiyetini en aza indirmek için bugünkü ortak danışma belgesinde belirtilen hafifletici önlemleri uygulamaları tavsiye edilir.
En azından, aktif istismar sırasında güvenlik açıklarının yamalanmasına öncelik verilmesi, tüm hizmetlerde (özellikle web postası, VPN ve kritik sistem hesapları için) MFA’nın etkinleştirilmesi ve yanal hareket girişimlerini engellemek için ağ bölümlendirmesinin kullanılması çok önemlidir.