باج افزار یک مشکل رو به رشد در سراسر جهان بوده است. با فناوری جدید و تکنیکهای در حال تکامل، توقف انواع باجافزار سختتر میشود. جدیدترین مورد اضافه شده به این مشکل، باج افزار Rhysida است.
باج افزار Rhysida پس از یک رشته حملات علیه سازمان های مراقبت های بهداشتی نامی برای خود دست و پا کرده است. باجافزار Rhysida که در ماه می 2023 وارد صحنه شد، جذابیت بیشتری پیدا کرد.
برخی از قربانیان مورد اشاره این گروه باج افزار تاکنون شامل ارتش شیلی است. در 29 مه، ارتش به اشتراک گذاشت که سیستمهایش به دلیل یک رخنه مختل شده است. Rhysida سپس حدود 360000 سند ارتش شیلی را منتشر کرد. به گفته این گروه، این تنها 30 درصد از غارت را تشکیل می داد.
Prospect Medical Holdings نیز در اوایل آگوست قربانی باج افزار Rhysida شد. این حمله بر 16 بیمارستان و 166 مرکز پزشکی دیگر در سراسر ایالات متحده تأثیر گذاشت. این حمله سایبری بزرگترین حمله به یک سیستم بیمارستانی در ایالات متحده از سال گذشته تلقی شد.
باج افزار Rhysida چیست؟
در 4 آگوست 2023، مرکز هماهنگی امنیت سایبری بخش سلامت (HC3) یک هشدار امنیتی در مورد باج افزار Rhysida منتشر کرد. با نام Ransom.PS1.RHYSIDA.SM شناسایی شد. طبق هشدار، گروه Rhysida در ماه می در وب تاریک با یک پورتال چت پشتیبانی قربانی ظاهر شد.
باند Ransomware-as-a-Service خود را به عنوان یک “تیم امنیت سایبری” معرفی می کند که به قربانیان در یافتن نقاط ضعف امنیتی در شبکه و سیستم خود کمک می کند. در پایان ماه مه 2023 ظهور کرد و به سرعت از نردبان بالا رفت.
از ژوئن 2023، این گروه باج افزار دارای 8 قربانی است که در وب سایت نشت داده های خود فهرست شده اند. هشدار امنیتی Rhysida را بهعنوان یک برنامه باجافزار رمزنگاری ویندوز قابل حمل اجرایی (PE) 64 بیتی توصیف میکند که با استفاده از MINGW/GCC کامپایل شده است. در هر نمونه تجزیه و تحلیل شده، نام برنامه برنامه روی Rhysida-0.1 تنظیم شده است که نشان می دهد ابزار در مراحل اولیه توسعه است. ویژگی قابل توجه این ابزار رشته های متن ساده آن است که دستورات اصلاح رجیستری را نشان می دهد.
برخی از تکنیکها، تاکتیکها و ابزارهای (TTP) مورد استفاده باجافزار Rhysida با Vice Society مقایسه شدهاند. کارشناسان امنیتی به شباهتهای قابل توجهی بین دو گروه باجافزار اشاره کردند که نشان میدهد Vice Society احتمالا Rhysida را به عنوان یکی از باجافزارهای ترجیحی خود انتخاب کرده است.
شباهت ها شامل استفاده از اتصالات پروتکل دسکتاپ از راه دور (RDP)، جلسات PowerShell راه دور (WinRM) و استفاده از ابزارهایی مانند PsExec برای حرکت جانبی است. علاقه به بخش های آموزش و مراقبت های بهداشتی نیز به این نظریه می افزاید.
Rhysida چه کسانی را هدف قرار می دهد؟
هشدار امنیتی HH3 نشان داد که باجافزار Rhysida قربانیانی دارد که در چندین کشور در سراسر اروپای غربی، آمریکای شمالی و جنوبی و استرالیا توزیع شدهاند. اکثر قربانیان تاکنون در ایالات متحده، بریتانیا، ایتالیا، اسپانیا و اتریش مستقر بوده اند.
گفته می شود که این گروه عمدتاً به بخش های آموزش، دولت، تولید، فناوری و ارائه دهندگان خدمات مدیریت شده حمله می کند. با این حال، اخیراً حملاتی علیه بخش مراقبت های بهداشتی و بهداشت عمومی (HPH) نیز صورت گرفته است.
در حالی که بیشتر گروههای باجافزار از بیمارستانها و مراکز مراقبتهای بهداشتی دوری میکنند، به نظر نمیرسد گروه باجافزار Rhysida تحت تأثیر همین تضاد اخلاقی قرار بگیرد.
Rhysida چگونه کار می کند؟
باج افزار Rhysida به روش های مختلفی مستقر شده است. شناخته شده است که این گروه به حملات فیشینگ و Cobalt Strike برای نفوذ به شبکه ها و استقرار محموله های آنها متکی است. ضربه کبالت یک ابزار تست نفوذ است که اغلب توسط هکرها برای قابلیت های بهره برداری پیشرفته آن استفاده می شود. پس از اینکه باجافزار Rhysida از طریق فریبهای فیشینگ وارد دستگاه قربانی شد، Cobalt Strike برای حرکت جانبی درون سیستم استفاده میشود.
ترجمه:
پیشگامان تجارت امن ایرانیان