De dreigingsactoren achter de Rhysida-ransomware zich bezighouden met opportunistische aanvallen gericht op organisaties in verschillende industriële sectoren.
Het advies komt met dank aan de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA), het Federal Bureau of Investigation (FBI) en het Multi-State Information Sharing and Analysis Center (MS-ISAC).
“Waargenomen als een ransomware-as-a-service (RaaS)-model, hebben Rhysida-actoren organisaties in het onderwijs, de productie, de informatietechnologie en de overheidssector gecompromitteerd en wordt het betaalde losgeld verdeeld tussen de groep en de aangesloten bedrijven”, aldus de agentschappen.
“Rhysida-actoren maken gebruik van extern gerichte externe diensten, zoals virtuele particuliere netwerken (VPN’s), Zerologon-kwetsbaarheid (CVE-2020-1472) en phishing-campagnes om initiële toegang en persistentie binnen een netwerk te verkrijgen.”
Rhysida werd voor het eerst ontdekt in mei 2023 en maakt gebruik van de beproefde tactiek van dubbele afpersing, waarbij losgeld wordt geëist om de gegevens van slachtoffers te ontsleutelen en gedreigd wordt de geëxfiltreerde gegevens te publiceren tenzij het losgeld wordt betaald.
Er wordt ook gezegd deel overlapt met een andere ransomware-ploeg die bekend staat als Vice Society (ook bekend als Storm-0832 of Vanilla Tempest), vanwege vergelijkbare targetingpatronen en het gebruik van zowel NTDSUtil als PortStarter, dat exclusief door laatstgenoemde wordt gebruikt.
Volgens statistieken van Malwarebytes heeft Rhysida vijf slachtoffers gemaakt voor de maand oktober 2023, waarmee het ver achter LockBit (64), NoEscape (40), PLAY (36), ALPHV/BlackCat (29) en 8BASE (21) komt te staan. .
De agentschappen beschreven dat de groep zich bezighield met opportunistische aanvallen om doelen te doorbreken en gebruik te maken van ‘living-off-the-land’-technieken (LotL) om zijwaartse bewegingen te vergemakkelijken en VPN-toegang tot stand te brengen.
Het idee is daarbij om detectie te omzeilen door op te gaan in legitieme Windows-systemen en netwerkactiviteiten.
De spil van Vice Society naar Rhysida is versterkt in de nasleep van nieuw onderzoek dat Sophos eerder vorige week publiceerde, waarin stond dat dezelfde dreigingsactoren Vice Society gebruikten tot juni 2023, toen het overschakelde op de inzet van Rhysida.
Het cybersecuritybedrijf volgt het cluster onder de naam TAC5279.
“Volgens de datalekkensite van de ransomwaregroep heeft Vice Society sinds juli 2023 geen slachtoffer meer gepost, rond de tijd dat Rhysida slachtoffers op haar site begon te melden”, aldus Sophos-onderzoekers Colin Cowie en Morgan Demboski.
De ontwikkeling komt op het moment dat de BlackCat-ransomwarebende bedrijven en openbare entiteiten aanvalt met behulp van Google-advertenties die zijn doorspekt met stikstofmalware, aldus eSentire.
“Deze partner haalt Google-advertenties uit die populaire software promoten, zoals Advanced IP Scanner, Slack, WinSCP en Cisco AnyConnect, om zakelijke professionals naar door aanvallers gecontroleerde websites te lokken”, aldus het Canadese cyberbeveiligingsbedrijf.
De frauduleuze installatieprogramma’s zijn uitgerust met Nitrogen, een malware voor initiële toegang die in staat is om volgende fase-payloads te leveren aan een gecompromitteerde omgeving, inclusief ransomware.
“Bekende voorbeelden van ransomware-gerelateerde malware voor initiële toegang die gebruik maakt van browsergebaseerde aanvallen zijn GootLoader, SocGholish, BATLOADER en nu Nitrogen”, aldus eSentire. “Interessant is dat ALPHV is waargenomen als een eindspel voor ten minste twee van deze browsergebaseerde malware-items voor initiële toegang: GootLoader en Nitrogen.”
De steeds evoluerende aard van het ransomware-landschap wordt verder bewezen door het feit dat 29 van de 60 momenteel actieve ransomware-groepen dit jaar met hun activiteiten zijn begonnen, volgens WithSecure, deels als gevolg van de broncodelekken van Babuk, Conti en LockBit door de jaren heen. .
“Datalekken zijn niet het enige dat ertoe leidt dat oudere groepen jongere groepen kruisbestuiven”, zegt WithSecure in een rapport gedeeld met The Hacker News.
“Ransomwarebendes hebben net als een IT-bedrijf personeel. En net als bij een IT-bedrijf veranderen mensen soms van baan en brengen ze hun unieke vaardigheden en kennis met zich mee. In tegenstelling tot legitieme IT-bedrijven is er echter niets dat een cybercrimineel ervan weerhoudt bedrijfseigen middelen te stelen ( zoals code of tools) van de ene ransomware-operatie en het gebruik ervan bij een andere. Dieven kennen geen eer.”
