Kötü şöhretli Rhysida fidye yazılımı çetesi, Ejército de Chile’ye, Şili Ordusuna ve Martinik’in bölgesel topluluğuna saldırdı. Tehdit aktörü, bir dark web forumunda Şili Ordusu’na “başarılı bir şekilde sızdıklarını” bildirerek faaliyetlerini kamuoyuna açıkladı.
Ülkenin savunmasından sorumlu Şili Ordusu’nun bu siber saldırının kurbanı olduğu iddia edildi. Görünüşe göre başarılarından gurur duyan Rhysida çetesi, ihlali duyurdu ve Ordu’dan elde edilen hassas verileri açık artırmaya çıkardı.
Benzer şekilde, Martinik’in bölgesel topluluğu da Rhysida siber saldırısından iddia edilen bir darbe aldı. Bir Fransız denizaşırı bölgesi olan Martinik, rastgele siber saldırılarda tehdit aktörü tarafından hedef alındı.
Siber güvenlik analisti Dominic Alvieri, Rhysida fidye yazılımı çetesi tarafından iddia edilen siber saldırılar hakkında tweet attı. Ayrıca grubun siber saldırıyla ilgili paylaşım detaylarının ekran görüntüsünü de paylaştı.
Bu iki saldırının akıbeti henüz tam olarak anlaşılamadı ancak The Cyber Express, güvenlik olaylarını doğrulamak için etkilenen taraflara ulaştı.
Rhysida fidye yazılımı çetesi bir dizi siber saldırı başlattı
Rhysida fidye yazılımı çetesi, TOR (.onion) aracılığıyla barındırılan kurban destek sohbet portalıyla ün kazandı.
Hedeflerinin güvenlik açıkları hakkında farkındalık yaratmayı amaçlayan bir “siber güvenlik ekibi” olduklarını iddia ediyorlar.
Bununla birlikte, yöntemleri, sistemlere sızmayı ve kurbanların verilerini rehin tutmayı ve serbest bırakılması için fidye ödemelerini talep etmeyi içeriyor.
Rhysida Fidye Yazılımı Çetesinin belirli hedefleri rastgele görünüyor ve kampanyaları açıkça hedeflenmiş değil, fırsatçı. SentinelOne’a göre bu, herhangi bir kuruluşun veya bireyin saldırılarının kurbanı olabileceğini gösteriyor.
Rhysida fidye yazılımının konuşlandırılması çeşitli yollarla gerçekleşir. Birincil yöntemler, Cobalt Strike veya benzeri çerçevelerin kullanılmasını ve kimlik avı kampanyalarının başlatılmasını içerir.
Rhysida fidye yazılımı örneklerinin analizi, grubun hala geliştirme döngüsünün ilk aşamalarında olduğunu gösteriyor.
Fidye yazılımlarında yaygın olarak bulunan VSS kaldırma gibi bazı özellikler yüklerinde eksik. Bununla birlikte, Rhysida çetesi, mağdurları sızan verileri halka açık bir şekilde dağıtmakla tehdit ederek, modern çoklu şantaj gruplarının eğilimini takip ediyor.
Rhysida fidye yazılımı çetesinin çalışma yöntemleri
Rhysida fidye yazılımı başlatıldıktan sonra, virüslü sistemin yerel sürücülerindeki tüm dosyaları sistematik olarak dolaşan bir cmd.exe penceresi görüntüler.
Saldırganlarla müzakere etmek için kurbanlara, fidye notlarında sağlanan benzersiz tanımlayıcıyı kullanarak TOR tabanlı portalları aracılığıyla onlarla iletişim kurmaları talimatı verilir.
Bitcoin (BTC) ile ödeme kabul edilen tek yöntemdir ve kurban portalında kurbanlara BTC satın alma ve kullanma hakkında bilgi verilir.
Ödeme portalına benzersiz kimliklerini girdikten sonra, mağdurlara saldırganlara kimlik doğrulama ve iletişim bilgilerini vermelerini sağlayan ek formlar verilir.
Rhysida Ransomware Gang, mesajlarının etkili bir şekilde iletilmesini sağlamak için, hedeflenen sürücülerdeki etkilenen klasörlere yerleştirilen PDF belgelerine fidye notları yazar. Bu iki siber saldırı, tehdit aktörünün iyi korunan sistemlere sızma becerisini vurgulamaktadır.
Medya Sorumluluk Reddi: Bu rapor, çeşitli yollarla elde edilen şirket içi ve şirket dışı araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar, bu bilgilere güvendikleri için tüm sorumluluğu üstlenirler. Cyber Express, bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.