تله متری توسط کارشناسان امنیتی همچنین نشان داده است که عوامل تهدید PsExec را برای استقرار اسکریپت های PowerShell و خود بار باج افزار Rhysida اجرا می کنند. Bleeping Computer گزارش داد که اسکریپت های PowerShell که توسط اپراتورهای Rhysida استفاده می شود، فرآیندهای آنتی ویروس را خاتمه می دهند، کپی های سایه را حذف می کنند، تنظیمات پروتکل دسکتاپ از راه دور را تغییر می دهند و رمز عبور فعال دایرکتوری (AD) را تغییر می دهند.
در حالی که یک رمزگذار باج افزار معمولاً این وظایف را انجام می دهد، باج افزار Rhysida از اسکریپت های خارجی برای دستیابی به اهداف مشابه استفاده می کند. این همه نشان دهنده توسعه فعال قفسه است.
گزارش دیگری همچنین تأیید می کند که جدیدترین قفل Rhysida از یک کلید RSA 4096 بیتی با الگوریتم ChaCha20 برای رمزگذاری فایل استفاده می کند و اکنون چندین دایرکتوری را حذف می کند. وقتی باجافزار Rhysida اجرا میشود، کارشناسان امنیتی متوجه خروجیای از خط فرمان شدند که فایلها را اسکن میکند، تابع “file_to_crypt” را اجرا میکند، و در صورت موفقیتآمیز، پسوند فایل را به “.rhysida” تغییر میدهد.
روشهای حمله مختص هیچ سازمانی نیست، به این معنی که هر بخش میتواند یک هدف بالقوه باشد.
پس از رمزگذاری موفقیتآمیز، باجافزار یک یادداشت باج PDF به قربانیان میدهد که از طریق پورتال خود با گروه تماس گرفته و به بیتکوین پرداخت کنند. استفاده از یادداشت های PDF همچنین نشان می دهد که این گروه سیستم عامل های خط فرمان مورد استفاده در دستگاه ها یا سرورهای شبکه را هدف قرار نمی دهد.
گروه Rhysida تهدید می کند که در صورت عدم پرداخت باج، اطلاعات سرقت شده را افشا خواهد کرد. این بدان معنی است که آنها را می توان به عنوان یک گروه باج افزار دو اخاذی طبقه بندی کرد.
چگونه در برابر باج افزار Rhysida محافظت کنیم
شرکتها و افراد به طور یکسان نیاز به سرمایهگذاری در اقدامات، شیوهها و آموزش بهتر امنیت سایبری دارند تا در زمان باجافزار پیچیده و به سرعت در حال تکامل، ایمن بمانند.
برخی از مراحل ارائه شده توسط هشدار امنیتی HH3 برای باج افزار Rhysida عبارتند از:
- وصله مجازی – این یک لایه حفاظتی اضافی در برابر هر گونه آسیب پذیری نرم افزاری را تضمین می کند – که باج افزار Rhysida از آن سوء استفاده می کند.
- آموزش بهداشت سایبری – کارمندان شما بزرگترین دارایی شما هستند و آنها باید برای اطمینان از یک شبکه امن همیشه آماده باشند و بهداشت سایبری را رعایت کنند.
- امنیت نقطه پایانی – امنیت نقطه پایانی پیشرفته از هرگونه تهدید سایبری که قصد ورود به شبکه شما را داشته باشد، جلوگیری، مبارزه و از بین میبرد. پلتفرم Endpoint Secure Sangfor پاسخی جامع به عفونتهای بدافزار و نقضهای APT ارائه میدهد. مدیریت آن نیز آسان است، محافظت سرتاسری ارائه میدهد و میتواند بر اساس نیازهای شما تنظیم شود.
- پشتیبانگیری – یک شرکت میتواند با سرمایهگذاری در راهحلهای قابل اعتماد پشتیبانگیری داده، ایمنی دادهها را تضمین کند. راه حل های بازیابی فاجعه سانگفور بهترین پشتیبان گیری و بسترهای زیرساختی بهینه را ارائه می دهد.
- تقسیم بندی شبکه و دسترسی – این محدودیت دسترسی و بار کاری در سراسر شبکه است که از گسترش باج افزار پس از حمله جلوگیری می کند.
- فایروال ها – استفاده از یک فایروال خوب با شناسایی و کاهش تهدیدات احتمالی قبل از ایجاد آسیب، امنیت شبکه شما را تضمین می کند. فایروال نسل بعدی سانگفور برای بررسی ترافیک شبکه و برنامه از نظر تهدیدات، ایمن سازی محیط شبکه از نفوذ، و ارائه اطلاعات امنیتی از خارج از شبکه طراحی شده است.
چند نکته دیگر که می توان برای حفظ انعطاف پذیری سایبری خود از آنها استفاده کرد عبارتند از:
- به روز رسانی نرم افزار به طور منظم.
- از لینک های ایمیل مشکوک، تبلیغات پاپ آپ و وب سایت های ناقص خودداری کنید.
- اطمینان از اینکه فایل های دانلود شده در فرمت صحیح و دارای پسوندهای مناسب هستند.
- عدم پرداخت باج به مجرمان.
- حفظ بهترین اقدامات امنیت سایبری موجود.
ترجمه:
پیشگامان تجارت امن ایرانیان