“Rhysida” olarak bilinen yeni bir fidye yazılımı grubu, Mayıs 2023’ten beri faaliyet gösteriyor ve sağlık sektörü için büyük bir tehlike oluşturuyor.
Rhysida fidye yazılımı çetesi, Şili Ordusu’na yapılan bir saldırı da dahil olmak üzere birçok önemli saldırıyla bağlantılı.
Son zamanlarda örgüt, ülke çapında 166 klinik ve 17 hastaneyi etkileyen Prospect Medical Holdings’e düzenlenen bir saldırıya da karıştı.
Cisco Talos, “Bu tehdit, kimlik avı ve Cobalt Strike gibi komuta ve kontrol (C2) çerçevelerinden ikincil yükler olarak bırakılmayı içerebilen çeşitli mekanizmalar yoluyla sağlanır”, Cisco Talos.
“Bu çerçeveler genellikle geleneksel ticari kötü amaçlı yazılımların bir parçası olarak sunulur, bu nedenle bulaşma zincirleri büyük ölçüde değişebilir”.
Check Point Incident Response Team (CPIRT) raporu, bu fidye yazılımının Vice Society’nin başka bir fidye yazılımı grubu olan TTP’leriyle pek çok ortak noktasının bulunduğunu söylüyor. 2021’den beri Vice Society, öncelikle sağlık ve eğitim sektörlerine odaklanan en aktif ve agresif fidye yazılımı çetelerinden biri oldu.
İki grup, fidye yazılımı ekosisteminde belirgin olan eğitim ve sağlık sektörlerine odaklandı.
Araştırma, konuşlandırılmasına yol açan TTP’lere, özellikle Yanal Hareket, Kimlik Bilgileri Erişimi, Savunma Kaçırma, Komuta ve Kontrol ve Etki üzerine odaklandı.
Saldırganlar, yanal hareketi gerçekleştirmek için aşağıdakiler de dahil olmak üzere bir dizi teknik kullandı:
- Uzak Masaüstü Protokolü (RDP) – İzinsiz giriş boyunca, tehdit aktörü RDP bağlantılarını başlattı ve algılama ve analiz girişimlerini güçlendirmek için ilgili günlükleri ve kayıt defteri öğelerini silmek için daha ileri adımlar attı (Savunmadan Kaçınma bölümünde belirtildiği gibi).
- Uzak PowerShell Oturumları (WinRM) – Tehdit aktörü, RDP aracılığıyla uzaktan bağlanırken ortamdaki sistemlere uzak PowerShell bağlantıları başlatırken tespit edildi.
- PsExec – Fidye yazılımı yükü, PsExec kullanılarak ortamdaki bir sunucudan dağıtıldı.
Özellikle, kimlik bilgilerine erişmek için, tehdit aktörü temp_l0gs klasörü altında NTDS.dit’in bir yedeğini oluşturmak için ntdsutil.exe’yi kullandı.
Araştırmacılar, bu yolun aktör tarafından birkaç kez kullanıldığını söylüyor. Ayrıca, tehdit aktörü, Etki Alanı Yöneticisi hesaplarını tanımladı ve bunlardan bazılarını kullanarak oturum açmaya çalıştı.
Kalıcılık için tehdit aktörleri, SystemBC ve AnyDesk dahil olmak üzere çeşitli arka kapılar ve teknolojiler kullandı.
Tehdit aktörleri, son kullanılan dosya ve dizinlerin geçmişini, son yürütülen programların listesini, Dosya Gezgini’ndeki son yol geçmişini, PowerShell konsol geçmiş dosyasını ve geçerli kullanıcının tüm dosya ve klasörlerini silmek dahil olmak üzere günlükleri ve adli yapıları düzenli olarak sildi. geçici dosya.
Sarmak
Fidye yazılımı ve gasp pazarında, sızdırılan oluşturucuların sayısına ve çok sayıda fidye yazılımı karteliyle ilişkili kaynak kodlarına atfedilebilecek önemli bir gelişme oldu.
ABD Sağlık ve İnsan Hizmetleri Departmanı (HHS), sağlık sektörünü Rhysida fidye yazılımı faaliyetleri konusunda özellikle uyardı.
Bizi GoogleNews, Linkedin üzerinden takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, twitterve Facebook.