Olarak bilinen çifte gasp fidye yazılımı grubu arasında taktiksel benzerlikler ortaya çıkarıldı. Rhysida Ve Yardımcı Toplumeğitim ve sağlık sektörlerini hedeflemeleri dahil.
Check Point, “Vice Society’nin çeşitli emtia fidye yazılımı yüklerini dağıttığı gözlemlendiğinden, bu bağlantı Rhysida’nın yalnızca Vice Society tarafından kullanıldığını göstermez, ancak en azından orta düzeyde bir güvenle Vice Society operatörlerinin artık Rhysida fidye yazılımı kullandığını gösterir.” yeni bir rapor
Microsoft tarafından Storm-0832 adı altında izlenen Vice Society, saldırılarını gerçekleştirmek için suç forumlarında satılan halihazırda var olan fidye yazılımı ikili dosyalarını kullanma modeline sahiptir. Finansal olarak motive olan çetenin, verilerin şifrelenmeden çalındığı, saf gasp temalı saldırılara başvurduğu da gözlemlendi.
İlk olarak Mayıs 2023’te gözlemlenen Rhysida fidye yazılımı grubunun, hedeflerin ağlarını ihlal etmek ve yüklerini dağıtmak için kimlik avı saldırılarına ve Cobalt Strike’a güvendiği biliniyor. Kurbanlarının çoğu ABD, İngiltere, İtalya, İspanya ve Avusturya’da bulunuyor.
Uzak masaüstü protokolü (RDP) ve uzak PowerShell oturumları kullanılarak yatay hareket kolaylaştırılırken, fidye yazılımı yükü PsExec kullanılarak dağıtılır. Komuta ve kontrol, SystemBC gibi arka kapılar ve AnyDesk gibi uzaktan yönetim araçları aracılığıyla sağlanır.
Saldırı zincirleri, izlerini örtmek için günlükleri ve adli yapıları tutarlı bir şekilde silmek ve düzeltme çabalarını engellemek için etki alanı çapında bir parola değişikliği başlatmak için de dikkate değerdir.
ABD Sağlık ve İnsan Hizmetleri Bakanlığı Sağlık Sektörü Siber Güvenlik Koordinasyonu, “Öncelikle eğitim, hükümet, üretim ve teknoloji ile yönetilen hizmet sağlayıcı sektörlerine saldırıyor; ancak, Sağlık ve Halk Sağlığı (HPH) sektörüne yönelik son saldırılar oldu.” Merkez geçen hafta bir uyarıda söyledi.
İsrailli siber güvenlik firmasının son bulguları, Rhysida’nın ortaya çıkışı ile Vice Society’nin ortadan kaybolması arasında “açık bir ilişki” olduğunu ortaya çıkardı.
Bu, NTDSUtil’in kullanımını, SystemBC aracılığıyla C2 iletişimini etkinleştirmek için yerel güvenlik duvarı kurallarının oluşturulmasını ve neredeyse tamamen Vice Society’ye bağlı olan PortStarter adlı ticari bir aracın kullanımını içerir.
Check Point, “Rysida ilk ortaya çıktığından beri, Vice Society yalnızca iki kurban yayınladı,” dedi. “Muhtemelen bunlar daha önce oynanmış ve yalnızca Haziran’da yayınlanmış. Vice Society oyuncuları, 21 Haziran 2023’ten beri sızıntı sitelerinde paylaşım yapmayı bıraktı.”
Diğer önemli gösterge, mağduriyet ayak izlerindeki ortak noktadır. Hem Rhysida hem de Vice Society orantısız bir şekilde genel dağılımın %32’sini ve %35’ini oluşturan eğitim dikeyini hedefledi.
Şirket, “Rhysida fidye yazılımı izinsiz girişlerine ilişkin analizimiz, grup ile kötü şöhretli Vice Society arasındaki açık bağları ortaya koyuyor, ancak aynı zamanda acımasız bir gerçeği de ortaya koyuyor – üretken fidye yazılımı aktörlerinin TTP’leri büyük ölçüde değişmeden kalıyor” dedi.
“AnyDesk gibi uzaktan yönetim araçlarının kullanımından fidye yazılımlarının PsExec aracılığıyla konuşlandırılmasına kadar, tehdit aktörleri bu tür saldırıları kolaylaştırmak için çeşitli araçlardan yararlanır.”