Rhysida ransomware

Rhysida ランサムウェアの作戦は、医療機関に対する一連の攻撃により、政府機関やサイバーセキュリティ企業がその作戦に細心の注意を払うようになったことで有名になりました。

米国保健福祉省 (HHS) によるセキュリティ情報を受けて、CheckPoint、Cisco Talos、および Trend Micro はいずれも、脅威アクターの活動のさまざまな側面に焦点を当てた Rhysida に関するレポートをリリースしました。

これに先立ち、リシダは6月にチリ軍(エジェルシト・デ・チリ)から盗んだ文書をデータ漏洩サイトに漏洩して初めて注目を集めた。

当時、SentinelOne による Rhysida 暗号化プログラムの予備分析では、このランサムウェアが開発初期段階にあり、永続化メカニズム、ボリューム シャドウ コピーのワイプ、プロセス終了など、ほとんどの種類で見られる標準機能が欠けていることが示されました。

「これはサイバーセキュリティチーム Rhysida からの自動警告です」と Rhysida の身代金メモには書かれています。

「残念な状況が発生しました。デジタル エコシステムが侵害され、大量の機密データがネットワークから流出しました。」

リシダの身代金メモ
リシダの身代金メモ
ソース:

Rhysida が医療機関を標的に

一部のランサムウェア活動は、医療機関を意図的に標的にしておらず、誤って実行された場合には無料の復号キーを提供することさえあると主張していますが、Rhysida は同じポリシーに従っていないようです。

Rhysida ダークウェブ データ漏洩サイトにはオーストラリアの医療機関がリストされており、盗まれたデータが漏洩する前に身代金を支払うまで 1 週間の猶予が与えられています。

Rhysida ダークウェブ データ漏洩サイト
Rhysida ダークウェブ データ漏洩サイト
ソース:

米国保健福祉省(HHS)が先週発行した速報では、Rhysida は依然として初等ロッカーを使用しているものの、その活動の規模は危険な規模まで拡大しており、最近では脅威アクターが医療分野に焦点を当てていることが示されていると警告しました。そして公共部門。

「被害者は西ヨーロッパ、北米、南米、オーストラリアの数カ国に分布している」とHHSの速報には書かれている。

「彼らは主に教育、政府、製造業、テクノロジーおよびマネージドサービスプロバイダー部門を攻撃しますが、最近では医療および公衆衛生(HPH)部門に対する攻撃もあります。」

関係者によると、プロスペクト・メディカル・ホールディングスに対する最近のサイバー攻撃の背後にリシダがいるとのことだが、プロスペクト・メディカル・ホールディングスでは依然としてシステム全体の停止が発生しており、全米の17の病院と166の診療所が影響を受けている。

しかし、Rhysida 氏はまだこの攻撃に対する責任を負っておらず、PMH はランサムウェアギャングが攻撃の背後にいるかどうかに関する電子メールに返答していません。

このサイバー攻撃、またはその他の報告されていないサイバー攻撃に関する直接の情報をお持ちの場合は、内密に Signal (+16469613731 ) までご連絡ください。

本日発表されたトレンドマイクロのレポートは、最も一般的に観察されている Rhysida 攻撃チェーンに焦点を当てており、この脅威グループはフィッシングメールを使用して初期アクセスを達成し、その後 Cobalt Strike と PowerShell スクリプトを展開し、最終的にロッカーをドロップすると説明しています。

トレンドマイクロのアナリストによる興味深い観察結果は、Rhysida オペレーターが使用する PowerShell スクリプトが AV プロセスを終了し、シャドウ コピーを削除し、RDP 構成を変更するというものであり、ロッカーが活発に開発されていることを示しています。

通常、ランサムウェア暗号化プログラム自体がこれらのタスクを処理しますが、Rhysida の操作では、外部スクリプトを使用して同じ目的を達成します。

Rhysida の最新の攻撃チェーン
Rhysida の最新の攻撃チェーン(トレンドマイクロ)

Cisco Talos のレポートでは、最新の Rhysida ロッカーがファイル暗号化に ChaCha20 アルゴリズムを備えた 4096 ビット RSA キーを使用し、いくつかのディレクトリと次のファイルタイプを除外していることが確認されています。

.bat .bin .cab .cmd .com .cur .diagcab .diagcfg, .diagpkg .drv .dll .exe .hlp .hta .ico .lnk .msi .ocx .ps1 .psm1 .scr .sys .ini thumbs .db .url .iso and .cab
暗号化から除外されるディレクトリ
暗号化から除外されるディレクトリ
出典: シスコ

CheckPoint のレポートはさらに一歩進んで、2 つの恐喝サイトでの被害者の公開時間と類似の被害者ターゲット パターンに基づいて、Rhysida を現在は廃止されたVice Society ランサムウェア オペレーションに関連付けています。

Vice Society と Rhysida での重複するアクティビティの変更
Vice Society と Rhysida でのアクティビティの変化の比較(CheckPoint)

結論として、Rhysida はランサムウェアの分野で急速に地位を確立し、さまざまな分野の組織をターゲットにし、病院を攻撃することに躊躇しません。

RaaS は運用面での動きが早すぎ、技術面では遅れをとっているように見えましたが、その面での開発はロッカーが追いつきつつあることを示しています。