Yeni Rhysida Fidye Yazılımı Hükümete ve BT Sektörlerine Saldırıyor

   Aralık 13, 2023  Posted in GBHackers


Bilgisayar korsanları, kurbanların dosyalarını şifrelemek ve şifre çözme anahtarı için ödeme (genellikle kripto para birimi cinsinden) talep etmek için fidye yazılımı kullanır.

Bu kötü niyetli taktik, dijital sistemlerindeki güvenlik açıklarından yararlanarak aşağıdaki kuruluşlardan zorla para almalarına olanak tanır: –

  • Bireyler
  • İşletmeler
  • Organizasyonlar

Mayıs 2023’te bu yeni fidye yazılımı çeşidi ilk kez ortaya çıktı ve aktif olarak dünya çapında birçok sektörü hedefliyor.

FourCore raporuna göre, son kampanyalarda bu yeni fidye yazılımı aşağıdaki sektörlerden birçok kuruluşu hedef aldı.

  • Devlet
  • Eğitim
  • Sağlık hizmeti
  • BT
  • Üretme

Fortinet, VPN cihazları ve RDP aracılığıyla Windows makinelerini hedef alan Rhysida fidye yazılımı saldırılarına ilişkin kapsamlı bir rapor yayınladı.

Yeni Rhysida Fidye Yazılımı

Rhysida, Şili ordusuna cesur bir saldırı düzenleyerek Ransomware’e girdi ve 50’den fazla kurbanı listeledi. Bu, 23 Mayıs’tan bu yana siber güvenlik ekibi gibi davranan ve güvenlik kusurlarını vurgulayan bağımsız bir grup.

Rhysida, bazı belirli dosyaların şifrelenmesini hariç tutar ve daha ileri şifreleme işlemini şununla gerçekleştirir: –

  • 4096 bit RSA anahtarı
  • ChaCha20 algoritması

Bunun yanı sıra, tüm şifrelenmiş dosyalar, duvar kağıdını değiştiren ve ardından fidye notu olarak bir PDF belgesi bırakan bir .rhysida uzantısına sahiptir.

Rhysida fidye notu (Kaynak - FourCore)
Rhysida fidye notu (Kaynak – FourCore)

Rhysida Ransomware’in operatörleri, kurbanları yeni açıklardan yararlanarak veya karanlık web kimlik bilgileriyle hackliyor. Rhysida verilerini veya QuantumLocker gibi diğer fidye yazılımlarını kullanıyorlar ve bazı durumlarda çalınan verileri kullanarak dosyaları şifrelemeden gasp ediyorlar.

Rhysida'nın Enfeksiyon Zinciri (Kaynak - FourCore)
Rhysida’nın Enfeksiyon Zinciri (Kaynak – FourCore)

Rhysida Operatörleri şu yollarla ihlal ediyor: –

Veriler için kimlik avı ve komut dosyaları kullanıyorlar. CobaltStrike gibi araçları konuşlandırarak, enjeksiyonlar ve açıklardan yararlanma yoluyla ayrıcalıkları artırıyorlar.

İzleri sürekli silerek RDP, SSH ve PsExec gibi araçlar aracılığıyla yayılırlar. Erişim için Anydesk’ten ayrılarak fidye veya satış amacıyla DataGrabber1 gibi araçlarla verileri sızdırıyorlar.

Rhysida operatörleri, yeni tekniklerden yoksun standart TTP’leri kullanır. Dağıtım sürecinin tamamını anlamak çok önemlidir.



Source link