Rhysida Ransomware Alert: Dobbelt afpresning, Talrige angreb

Cybersikkerhedssamfundet er i høj beredskab som USA. Cybersecurity and Infrastructure Security Agency (CISA), Federal Bureau of Investigation (FBI), og Multi-State Information Sharing and Analysis Center (MS-ISAC) i fællesskab udsende en rådgivning om den voksende trussel, som Rhysida-ransomwaren udgør.

Fungerer under a ransomware-as-a-service (Raas) model, Rhysida-aktører har udvist et mønster af opportunistiske angreb rettet mod organisationer på tværs af forskellige sektorer, herunder uddannelse, fremstillingsvirksomhed, Informations teknologi, og regeringen. De indsamlede løsesumsbetalinger deles mellem gruppen og dens tilknyttede selskaber, skabe en bekymrende tendens i cybersikkerhedslandskabet.

Rhysida ransomware Attack Tactics and Evolution

Rhysida, først opdaget i maj 2023, anvender en ransomware-taktik kendt som dobbelt afpresning. Dette indebærer at kræve en løsesum for at dekryptere offerdata og true med at offentliggøre eksfiltrerede data, hvis betaling ikke foretages. Trusselsaktørerne udnytter eksternt vendte fjerntjenester, såsom virtuelle private netværk og Zerologon-sårbarheden (CVE-2020-1472), Så godt som phishing-kampagner for indledende adgang og vedholdenhed inden for et netværk. Gruppen er blevet knyttet til Vice Society, deling af målretningsmønstre og brug af værktøjer som NTDSUtil og PortStarter, tidligere eksklusive for sidstnævnte.

Ifølge forskere, Rhysida krævede fem ofre i oktober 2023, positionerer sig i ransomware-landskabet sammen med formidable modparter som LockBit og NoEscape. Især, gruppens skifte fra Vice Society til Rhysida er blevet sporet, med overgangen observeret i juni 2023. Skiftet rejser spørgsmål om de udviklende strategier for ransomware-operatører som svar på udviklende cybersikkerhedsforsvar.

Nyere forskning fra Sophos kaster lys over den indbyrdes forbundne karakter af ransomware-grupper. Vicesamfund, som tilsyneladende har ligget i dvale siden juli 2023, faldt sammen med Rhysidas opståen. Det stadigt skiftende landskab fremhæves yderligere af BlackCat ransomware-banden, bruge Google-annoncer til at levere nitrogen-malware. Denne dynamiske tilgang understreger den kontinuerlige tilpasning og innovation inden for ransomware-økosystemet.

Konklusion
Fremkomsten af Rhysida og dets tilknytning til Vice Society understreger det hastende for organisationer at styrke deres cybersikkerhedsforanstaltninger. Med trusselslandskabet i konstant udvikling, samarbejde mellem sikkerhedsbureauer og kontinuerlig årvågenhed inden for cybersikkerhedssamfundet er bydende nødvendigt for at modarbejde nye ransomware-trusler. Som året udspiller sig, dynamikken i ransomware-landskabet fortsætter med at skifte, understreger det kritiske behov for robuste forsvar mod disse evigt tilpassede cybermodstandere.