La communauté de la cybersécurité est en état d'alerte alors que les États-Unis. Agence de la cybersécurité et de la sécurité des infrastructures (CISA), le Bureau fédéral d'enquête (FBI), et le Centre multi-États de partage et d'analyse d'informations (MS-ISAC) publier conjointement un avis sur la menace croissante posée par le ransomware Rhysida.
Opérant sous un ransomware-as-a-service (RAAS) modèle, Les acteurs de Rhysida ont présenté un schéma d'attaques opportunistes ciblant des organisations de divers secteurs., y compris l'éducation, fabrication, informatique, et le gouvernement. Les rançons perçues sont partagées entre le groupe et ses filiales, créant une tendance inquiétante dans le paysage de la cybersécurité.
Tactiques d'attaque et évolution du ransomware Rhysida
Rhysida, détecté pour la première fois en mai 2023, emploie une tactique de ransomware connue sous le nom de double extorsion. Cela implique d'exiger une rançon pour le décryptage des données des victimes et de menacer de publier les données exfiltrées si le paiement n'est pas effectué.. Les acteurs malveillants exploitent des services distants externes, tels que les réseaux privés virtuels et la vulnérabilité Zerologon (CVE-2020-1472), aussi bien que campagnes de phishing pour l'accès initial et la persistance au sein d'un réseau. Le groupe a été lié à Vice Society, partager des modèles de ciblage et utiliser des outils tels que NTDSUtil et PortStarter, auparavant exclusif à ce dernier.
Selon les chercheurs, Rhysida a fait cinq victimes en octobre 2023, se positionner dans le paysage des ransomwares aux côtés de redoutables homologues comme LockBit et NoEscape. Notamment, le passage du groupe de Vice Society à Rhysida a été suivi, avec la transition observée en juin 2023. Ce changement soulève des questions sur l’évolution des stratégies des opérateurs de ransomwares en réponse à l’évolution des défenses de cybersécurité..
Une étude récente de Sophos met en lumière la nature interconnectée des groupes de ransomwares. Vice-société, qui semble être resté en sommeil depuis juillet 2023, a coïncidé avec l'émergence de Rhysida. Le paysage en constante évolution est encore mis en évidence par le gang du ransomware BlackCat., utiliser les publicités Google pour diffuser des logiciels malveillants Nitrogen. Cette approche dynamique souligne l'adaptation et l'innovation continues au sein de l'écosystème des ransomwares..
Conclusion
La montée en puissance de Rhysida et de son association avec Vice Society souligne l'urgence pour les organisations de renforcer leurs mesures de cybersécurité.. Avec un paysage de menaces en constante évolution, la collaboration entre les agences de sécurité et une vigilance continue au sein de la communauté de la cybersécurité sont impératives pour contrecarrer les menaces émergentes de ransomwares. Au fur et à mesure que l'année se déroule, la dynamique du paysage des ransomwares continue de changer, soulignant le besoin crucial de défenses robustes contre ces cyber-adversaires en constante adaptation.