Notícias de dispositivos móveis, gadgets, aplicativos Android

Rhysida Ransomware adicionou novas técnicas, táticas e ferramentas ao seu arsenal

Um novo grupo de ransomware conhecido como ‘Rhysida’ está em operação desde maio de 2023, representando um enorme perigo para o setor de saúde.

A gangue de ransomware Rhysida está ligada a vários ataques significativos, incluindo um ataque ao exército chileno.

Recentemente, a organização também foi implicada num ataque à Prospect Medical Holdings que teve impacto em 166 clínicas e 17 hospitais em todo o país.

“Esta ameaça é entregue através de uma variedade de mecanismos que podem incluir phishing e ser descartada como cargas secundárias de estruturas de comando e controle (C2) como Cobalt Strike”, Cisco Talos.

“Essas estruturas são comumente entregues como parte de malware de commodity tradicional, portanto as cadeias de infecção podem variar amplamente”.

Equipe de Resposta a Incidentes da Check Point (CPIRT) relatório diz descobriu-se que esse ransomware tem muito em comum com os TTPs da Vice Society, outro grupo de ransomware. Desde 2021, a Vice Society tem sido uma das gangues de ransomware mais ativas e agressivas, concentrando-se principalmente nos setores de saúde e educação.

Os dois grupos se concentraram nos setores de educação e saúde, que são distintos no ecossistema de ransomware.

A pesquisa concentrou-se nos TTPs que levaram à sua implantação, especificamente Movimento Lateral, Acesso a Credenciais, Evasão de Defesa, Comando e Controle e Impacto.

Para conduzir o movimento lateral, os atacantes empregaram uma série de técnicas, incluindo:

  • Protocolo de área de trabalho remota (RDP) – Durante a intrusão, o autor da ameaça iniciou conexões RDP e tomou medidas adicionais para apagar logs e itens de registro relacionados para fortalecer as tentativas de detecção e análise (conforme mencionado na seção Evasão de Defesa).
  • Sessões remotas do PowerShell (WinRM) – O agente da ameaça foi detectado iniciando conexões remotas do PowerShell com sistemas dentro do ambiente enquanto se conectava remotamente por meio de RDP.
  • PsExec – A carga útil do ransomware foi distribuída de um servidor dentro do ambiente usando PsExec.
Nós recomendamos:  Samsung nos mostra sua tela dobrável, mas não seu smartphone

Notavelmente, para acessar credenciais, o agente da ameaça utilizou ntdsutil.exe para criar um backup de NTDS.dit na pasta temp_l0gs.

Os pesquisadores afirmam que esse caminho foi utilizado diversas vezes pelo ator. Além disso, o agente da ameaça identificou contas de Administrador de Domínio e tentou fazer login usando algumas delas.

Para persistência, os agentes de ameaças usaram uma variedade de backdoors e tecnologias, incluindo SystemBC e AnyDesk.

Os atores da ameaça excluíram logs e artefatos forenses regularmente, incluindo a exclusão do histórico de arquivos e diretórios usados ​​recentemente, a lista de programas executados recentemente, o histórico de caminho recente no File Explorer, o arquivo de histórico do console do PowerShell e todos os arquivos e pastas no usuário atual. pasta temporária.

Embrulhar

Houve um desenvolvimento significativo no mercado de ransomware e extorsão, o que pode ser atribuído ao número de construtores vazados e códigos-fonte associados a vários cartéis de ransomware.

O Departamento de Saúde e Serviços Humanos dos EUA (HHS) alertou especificamente o setor de saúde sobre as atividades do ransomware Rhysida.

Mantenha-se informado sobre as últimas notícias sobre segurança cibernética seguindo-nos no Notícias do Google, Linkedin, Twittere Facebook.

Table of Contents