Rhysida
Rhysida ist eine Ransomware-as-a-Service (RaaS)-Gruppe, die im Mai 2023 auftauchte und für doppelte Erpressungsangriffe auf Sektoren wie das Gesundheits- und Bildungswesen bekannt ist. Sie hat Verbindungen zur berüchtigten Gruppe Vice Society ransomware .
Der Ursprung von Rhysida
Rhysida ransomware wurde erstmals im Mai 2023 beobachtet und hat sich schnell als prominente Ransomware-as-a-Service (RaaS)-Gruppe etabliert. Rhysida ist dafür bekannt, kritische Sektoren ins Visier zu nehmen, und wurde mit Angriffen auf wichtige Institutionen wie die chilenische Armee und Prospect Medical Holdings in Verbindung gebracht, von denen 17 Krankenhäuser und 166 Kliniken in den USA betroffen waren. Die Gruppe stellt sich selbst als "Cybersicherheitsteam" dar, während sie gleichzeitig eine doppelte Erpressung betreibt: Sie verschlüsselt Daten und droht damit, sie öffentlich zu machen, wenn kein Lösegeld gezahlt wird. Es gibt zunehmend Verbindungen zwischen Rhysida und der Gruppe Vice Society ransomware , da technische und operative Ähnlichkeiten festgestellt wurden.
Ihr Name "Rhysida" ist von einer Tausendfüßlerart abgeleitet und symbolisiert ihre heimliche und vielbeinige Vorgehensweise bei Cyberangriffen.
Bildquelle: KAG
Ziele
Rhysidas Ziele
Von Rhysida betroffene Länder
Rhysida ist vor allem in Nordamerika, Europa und Australien aktiv und hat es auf Unternehmen in Ländern wie den Vereinigten Staaten, Italien, Spanien und dem Vereinigten Königreich abgesehen. Ihre Angriffe erstreckten sich über verschiedene Branchen, was ihre globale Reichweite widerspiegelt.
Bildquelle: SOCradar
Zielbranchen von Rhysida
Rhysida zielt in erster Linie auf das Bildungs- und Gesundheitswesen, die öffentliche Verwaltung und das produzierende Gewerbe ab und nutzt Schwachstellen in wichtigen Einrichtungen aus. Diese Angriffe haben oft zu Betriebsunterbrechungen und erheblichen finanziellen und Datenverlusten geführt.
Bildquelle: Trend Micro
Zielbranchen von Rhysida
Rhysida zielt in erster Linie auf das Bildungs- und Gesundheitswesen, die öffentliche Verwaltung und das produzierende Gewerbe ab und nutzt Schwachstellen in wichtigen Einrichtungen aus. Diese Angriffe haben oft zu Betriebsunterbrechungen und erheblichen finanziellen und Datenverlusten geführt.
Bildquelle: Trend Micro
Die Opfer von Rhysida
Neben Angriffen auf die chilenische Armee hat Rhysida auch den Gesundheitssektor ins Visier genommen, darunter einen Angriff auf Prospect Medical Holdings. Außerdem sind sie für Angriffe auf mehrere Bildungseinrichtungen verantwortlich, darunter auch auf die University of West Scotland.
Bildquelle: Trend Micro
Angriffsmethode
Rhysidas Angriffsmethode
Rhysida-Akteure verschaffen sich Zugang über kompromittierte Zugangsdaten oder phishing und nutzen externe Dienste wie VPNs ohne Multi-Faktor-Authentifizierung (MFA). Auch Exploits wie die Zerologon-Schwachstelle (CVE-2020-1472) wurden bereits genutzt.
Die Angreifer erweitern ihre Privilegien mit Tools wie ntdsutil.exe um Domänen-Anmeldedaten zu extrahieren. Es wurde beobachtet, dass sie die NTDS-Datenbank für domänenweite Passwortänderungen anvisieren.
Rhysida verwendet häufig PowerShell und PsExec, um Ereignisprotokolle zu löschen und forensische Artefakte zu entfernen, z. B. Dateien und Ordner, auf die kürzlich zugegriffen wurde, RDP-Protokolle und den PowerShell-Verlauf.
Die Gruppe setzt Tools zum Dumping von Anmeldeinformationen ein wie secretdump um Anmeldedaten von kompromittierten Systemen zu extrahieren. Diese Zugangsdaten ermöglichen es den Angreifern, ihre Privilegien zu erweitern und ihre Kontrolle über das Netzwerk zu verstärken.
Rhysida-Anwender verwenden native Tools wie ipconfig, whoamiund Netz Kommandos zur Aufklärung im Umfeld des Opfers.
Remote-Dienste wie RDP und SSH über PuTTY werden für laterale Bewegungen verwendet. PsExec wird häufig für die endgültige Verteilung der ransomware Nutzlast eingesetzt.
Vor der Ausführung der Nutzlast ransomware sammeln die Angreifer wichtige Daten und bereiten sie für die Verschlüsselung oder Exfiltration als Teil ihrer doppelten Erpressungsstrategie vor.
Die Nutzlast von Rhysida wird mit PsExec bereitgestellt, und die Daten werden mit 4096-Bit-RSA- und ChaCha20-Verschlüsselungsalgorithmen verschlüsselt. Die Website .rhysida Erweiterung zu allen verschlüsselten Dateien hinzugefügt wird.
Die Gruppe wendet eine doppelte Erpressung an, indem sie sensible Daten exfiltriert und mit der Veröffentlichung droht, wenn kein Lösegeld gezahlt wird.
Die Operationen von Rhysida gipfeln in der Regel in schwerwiegenden Störungen, Datenverschlüsselung und Forderungen nach Bitcoin-Zahlungen, die oft in die Millionen gehen.
Erster Zugang
Rhysida-Akteure verschaffen sich Zugang über kompromittierte Zugangsdaten oder phishing und nutzen externe Dienste wie VPNs ohne Multi-Faktor-Authentifizierung (MFA). Auch Exploits wie die Zerologon-Schwachstelle (CVE-2020-1472) wurden bereits genutzt.
Rechte-Eskalation
Die Angreifer erweitern ihre Privilegien mit Tools wie ntdsutil.exe um Domänen-Anmeldedaten zu extrahieren. Es wurde beobachtet, dass sie die NTDS-Datenbank für domänenweite Passwortänderungen anvisieren.
Verteidigung Umgehung
Rhysida verwendet häufig PowerShell und PsExec, um Ereignisprotokolle zu löschen und forensische Artefakte zu entfernen, z. B. Dateien und Ordner, auf die kürzlich zugegriffen wurde, RDP-Protokolle und den PowerShell-Verlauf.
Zugang zu Anmeldeinformationen
Die Gruppe setzt Tools zum Dumping von Anmeldeinformationen ein wie secretdump um Anmeldedaten von kompromittierten Systemen zu extrahieren. Diese Zugangsdaten ermöglichen es den Angreifern, ihre Privilegien zu erweitern und ihre Kontrolle über das Netzwerk zu verstärken.
Entdeckung
Rhysida-Anwender verwenden native Tools wie ipconfig, whoamiund Netz Kommandos zur Aufklärung im Umfeld des Opfers.
Seitliche Bewegung
Remote-Dienste wie RDP und SSH über PuTTY werden für laterale Bewegungen verwendet. PsExec wird häufig für die endgültige Verteilung der ransomware Nutzlast eingesetzt.
Sammlung
Vor der Ausführung der Nutzlast ransomware sammeln die Angreifer wichtige Daten und bereiten sie für die Verschlüsselung oder Exfiltration als Teil ihrer doppelten Erpressungsstrategie vor.
Ausführung
Die Nutzlast von Rhysida wird mit PsExec bereitgestellt, und die Daten werden mit 4096-Bit-RSA- und ChaCha20-Verschlüsselungsalgorithmen verschlüsselt. Die Website .rhysida Erweiterung zu allen verschlüsselten Dateien hinzugefügt wird.
Exfiltration
Die Gruppe wendet eine doppelte Erpressung an, indem sie sensible Daten exfiltriert und mit der Veröffentlichung droht, wenn kein Lösegeld gezahlt wird.
Auswirkungen
Die Operationen von Rhysida gipfeln in der Regel in schwerwiegenden Störungen, Datenverschlüsselung und Forderungen nach Bitcoin-Zahlungen, die oft in die Millionen gehen.
MITRE ATT&CK Kartierung
Von Rhysida verwendete TTPs
TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
No items found.
TA0005: Defense Evasion
T1070
Indicator Removal
TA0006: Credential Access
T1528
Steal Application Access Token
T1003
OS Credential Dumping
TA0007: Discovery
No items found.
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
No items found.
TA0011: Command and Control
No items found.
TA0010: Exfiltration
No items found.
TA0040: Impact
T1657
Financial Theft
Plattform-Detektionen
Wie erkennt man Rhysida mit Vectra AI
Liste der in der Vectra AI Plattform verfügbaren Erkennungen, die auf einen ransomware Angriff hindeuten würden.
Häufig gestellte Fragen
Was ist Rhysida ransomware?
Rhysida ist eine Ransomware-as-a-Service-Gruppe, die doppelte Erpressung einsetzt, um Daten zu verschlüsseln und zu exfiltrieren, und dabei auf Sektoren wie das Gesundheits- und Bildungswesen abzielt.
Wann ist Rhysida zum ersten Mal aufgetaucht?
Die Gruppe wurde erstmals im Mai 2023 beobachtet.
Auf welche Branchen ist Rhysida ausgerichtet?
Das Unternehmen konzentriert sich in erster Linie auf die Bereiche Bildung, Gesundheitswesen, Fertigung, Regierung und IT.
Welche Länder sind von Rhysida betroffen?
Die Gruppe war vor allem in den USA, Großbritannien, Italien und Spanien aktiv.
Wie erhält Rhysida Zugang zu den Netzen?
Rhysida-Akteure verschaffen sich Zugang über phishing oder durch Ausnutzung von Schwachstellen in externen Diensten, wobei sie häufig schwache oder gestohlene Anmeldedaten nutzen.
Welche Verschlüsselungsmethoden verwendet Rhysida?
Die Gruppe verwendet 4096-Bit-RSA- und ChaCha20-Verschlüsselungsalgorithmen, um die Daten der Opfer zu sperren.
Gibt es eine Verbindung zwischen Rhysida und Vice Society?
Es gibt bemerkenswerte Ähnlichkeiten zwischen den TTPs von Rhysida und Vice Society, was auf eine mögliche operative Überschneidung hindeutet.
Wie können sich Unternehmen vor Rhysida schützen?
Unternehmen sollten MFA implementieren, bekannte Sicherheitslücken schließen und robuste Sicherungs- und Wiederherstellungssysteme einrichten.
Wie entgeht Rhysida der Entdeckung?
Die Gruppe verwendet Techniken wie das Löschen von Ereignisprotokollen, das Löschen von Artefakten und das Verbergen von Aktivitäten über PowerShell.
Welche Maßnahmen sollten nach einem Rhysida-Angriff ergriffen werden?
Unternehmen sollten die betroffenen Systeme isolieren, forensische Beweise sichern, den Vorfall den Strafverfolgungsbehörden melden und die Zahlung des Lösegelds nach Möglichkeit vermeiden. Es wird auch empfohlen, robuste Sicherheitsmaßnahmen wie NDR und Netzwerksegmentierung zu implementieren.