2023-08-11 00:19:02
Cela ne fait que trois mois que le groupe de rançongiciels Rhysida a été détecté, mais le nombre croissant de victimes qu’il a accumulées dans des secteurs tels que l’éducation, la fabrication et, plus récemment, les soins de santé, attire l’attention des professionnels de la cybersécurité qui tentent de découvrir plus d’informations sur le opérateurs derrière elle.
L’une de ces sociétés de sécurité, Check Point, a noté cette semaine des similitudes dans les techniques qui liaient plus étroitement Rhysida et Vice Society, un groupe de rançongiciels très agressif au cours des deux dernières années qui a principalement ciblé les organisations des secteurs de l’éducation et de la santé.
Les chercheurs de Check Point dans un rapport a également déclaré que la montée en puissance de Rhysida en tant que rançongiciel et menace de double extorsion – exfiltrer des données plutôt que simplement les crypter et menacer de les publier si la rançon n’est pas payée – correspond à la disparition relative de Vice Society de la scène.
“Comme Vice Society a été observé en train de déployer une variété de charges utiles de ransomware de base, ce lien ne suggère pas que Rhysida est exclusivement utilisé par Vice Society, mais montre avec une confiance au moins moyenne que les opérateurs de Vice Society utilisent maintenant le ransomware Rhysida”, ont écrit les chercheurs.
La montée en puissance de Rhysida met également en évidence la tendance dans le monde cybercriminel des groupes de menaces à réutiliser le code et d’autres composants de logiciels malveillants précédents dans leurs propres outils malveillants, selon l’unité de renseignement sur les menaces Talos de Cisco.
“Il y a eu une énorme croissance dans l’espace des ransomwares et de l’extorsion, potentiellement liée à la pléthore de constructeurs divulgués et de code source lié à divers cartels de ransomwares”, ont écrit les chercheurs de Talos dans leur propre article. rapport cette semaine. “Ce n’est qu’un autre exemple de la façon dont ces groupes peuvent désormais développer rapidement leurs propres variantes de rançongiciels en se tenant sur les épaules de ces criminels dont le travail antérieur a été exposé publiquement.”
Cibler le secteur de la santé
Le groupe Rhysida est occupé depuis son émergence en mai, faisant des victimes dans un large éventail de secteurs, y compris le gouvernement et la technologie. Désormais, les soins de santé sont dans le collimateur du gang, y compris des indications selon lesquelles il a été impliqué dans l’attaque au début du mois contre Prospect Medical Holdings, qui, selon Check Point, a touché 17 hôpitaux et 166 cliniques aux États-Unis.
Le département américain de la santé et des services sociaux (HHS) a publié à peu près au même moment une alerte de huit pages à propos de Rhysida, décrivant ses tactiques et techniques et soulignant les liens possibles avec Vice Society, y compris le ciblage du secteur de l’éducation. L’agence a noté que 38,4% des attaques de Vice Society visaient cet espace, contre 30% des victimes de Rhysida.
“Il convient de noter que Vice Society cible principalement les établissements d’enseignement et de santé, préférant attaquer les petites et moyennes organisations”, indique l’alerte. “S’il existe effectivement un lien entre les deux groupes, ce n’est qu’une question de temps avant que Rhysida puisse commencer à considérer le secteur de la santé comme une cible viable.”
Le secteur de la santé devient la cible de nombreux groupes de rançongiciels. Selon un réseau JAMA rapport l’année dernière, le nombre d’attaques de ransomwares contre les systèmes de prestation de soins de santé a doublé entre 2016 et 2021, exposant les données personnelles de santé de près de 42 millions de patients.
Comment fonctionne Rhysida
Plusieurs études de Rhysida ont révélé que le groupe de menaces obtient un accès initial au système ciblé via un certain nombre de voies, y compris le phishing et le fait d’être une charge utile secondaire abandonnée par des cadres de commande et de contrôle (C2) comme Cobalt Strike.
Une fois sur place, ils utilisent un certain nombre d’outils pour se déplacer latéralement sur un réseau compromis, notamment le protocole RDP (Remote Desktop Protocol) et les sessions PowerShell à distance (WinRM). Check Point et Trend Micro dit le ransomware lui-même a été déployé à l’aide de PsExec (qui permet aux opérateurs d’exécuter des processus sur d’autres systèmes). Trend Micro a noté que Rhysida utilise une clé RSA 4096 bits et AES-CTR pour chiffrer les fichiers.
Les mauvais acteurs utilisent plusieurs portes dérobées pour assurer la persistance, y compris SystemBC, un malware proxy, et AnyDesk, un outil de gestion à distance légitime, et échappent à la détection en supprimant les journaux et les artefacts médico-légaux, selon Check Point. Ils modifient également les mots de passe de domaine pour ralentir les opérations de correction. Trend Micro a également pointé du doigt un script PowerShell appelé “SILENTKILL” utilisé pour mettre fin aux processus et services antivirus, supprimer les clichés instantanés, modifier les configurations RDP et modifier les mots de passe Active Directory.
Les sociétés de sécurité ont également mis en évidence la formulation des notes de rançon laissées, les attaquants s’identifiant comme “l’équipe de sécurité de Rhysida” alertant les victimes que leurs systèmes étaient compromis.
Tactiques, techniques et société du vice
Le lien avec Vice Society, qui a déjà été soulevé, devient plus clair à mesure que les chercheurs creusent plus profondément, selon Check Point. De nombreuses techniques, bien qu’utilisées par de nombreux opérateurs de ransomwares, ont été utilisées de manière inhabituelle, notamment les outils utilisés pour créer certaines sauvegardes, la création d’une règle de pare-feu locale et le changement de mot de passe à l’échelle du domaine avant le déploiement du ransomware.
En plus de la similitude des cibles, les chercheurs ont utilisé des informations sur les sites de fuite des deux groupes pour illustrer la disparition de la présence de la Vice Society une fois que Rhysida est arrivée. Depuis octobre 2022, Vice Society avait conservé un rythme assez cohérent de publications sur son site de fuite. Cependant, en mai – lorsque Rhysida est apparu – les publications de Vice Society ont chuté à mesure que Rhysida grandissait.
“Depuis la première apparition de Rhysida, Vice Society n’a publié que deux victimes”, ont-ils écrit. «Il est probable que ces performances aient été réalisées plus tôt et n’aient été publiées qu’en juin. Les acteurs de la Vice Society ont cessé de publier sur leur site de fuite depuis le 21 juin 2023. »
#nouvelle #menace #ransomware #Rhysida #liée #des #acteurs #notoires #Vice #Society
1691706412
