La CISA et le FBI émettent un avertissement concernant les attaques de double extorsion de Rhysida Ransomware


Les acteurs menaçants derrière le Rançongiciel Rhysida se livrer à des attaques opportunistes ciblant des organisations couvrant divers secteurs industriels.

L’avis est une gracieuseté de la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis, du Federal Bureau of Investigation (FBI) et du Multi-State Information Sharing and Analysis Center (MS-ISAC).

« Observés comme un modèle de ransomware-as-a-service (RaaS), les acteurs de Rhysida ont compromis des organisations dans les secteurs de l’éducation, de la fabrication, des technologies de l’information et du gouvernement et toute rançon payée est partagée entre le groupe et ses filiales », ont déclaré les agences. dit.

« Les acteurs de Rhysida exploitent des services distants externes, tels que les réseaux privés virtuels (VPN), la vulnérabilité Zerologon (CVE-2020-1472) et les campagnes de phishing pour obtenir un accès initial et une persistance au sein d’un réseau.

Détecté pour la première fois en mai 2023, Rhysida utilise la tactique éprouvée de la double extorsion, exigeant le paiement d’une rançon pour décrypter les données des victimes et menaçant de publier les données exfiltrées si la rançon n’est pas payée.

On dit aussi de partager les chevauchements avec une autre équipe de ransomwares connue sous le nom de Vice Society (alias Storm-0832 ou Vanilla Tempest), en raison de modèles de ciblage similaires et de l’utilisation de NTDSUtil ainsi que de PortStarter, qui a été exclusivement employé par ce dernier.

La cyber-sécurité

Selon les statistiques compilées par Malwarebytes, Rhysida a affirmé cinq victimes pour le mois d’octobre 2023, le plaçant loin derrière LockBit (64), NoEscape (40), PLAY (36), ALPHV/BlackCat (29) et 8BASE (21).

Les agences ont décrit le groupe comme se livrant à des attaques opportunistes pour atteindre des cibles et profitant des techniques de vie hors du territoire (LotL) pour faciliter les mouvements latéraux et établir un accès VPN.

Ce faisant, l’idée est d’échapper à la détection en se fondant dans les systèmes Windows et les activités réseau légitimes.

Le pivot de Vice Society vers Rhysida a été renforcé à la suite d’une nouvelle étude publiée par Sophos plus tôt la semaine dernière, qui a déclaré avoir observé le même acteur malveillant utilisant Vice Society jusqu’en juin 2023, date à laquelle il est passé au déploiement de Rhysida.

La société de cybersécurité suit le cluster sous le nom de TAC5279.

« Notamment, selon le site de fuite de données du groupe de ransomwares, Vice Society n’a signalé aucune victime depuis juillet 2023, soit à peu près au moment où Rhysida a commencé à signaler des victimes sur son site », ont déclaré Colin Cowie et Morgan Demboski, chercheurs de Sophos. dit.

Ce développement intervient alors que le gang de ransomwares BlackCat attaque des entreprises et des entités publiques à l’aide de publicités Google associées à des logiciels malveillants Nitrogen, selon eSentire.

« Cette filiale supprime les publicités Google faisant la promotion de logiciels populaires, tels que Advanced IP Scanner, Slack, WinSCP et Cisco AnyConnect, pour attirer les professionnels vers des sites Web contrôlés par des attaquants », a déclaré la société canadienne de cybersécurité.

Les installateurs malveillants, qui sont équipés de Nitrogen, un malware à accès initial capable de fournir des charges utiles de l’étape suivante sur un environnement compromis, y compris des ransomwares.

La cyber-sécurité

« Les exemples connus de logiciels malveillants à accès initial associés aux ransomwares qui exploitent les attaques basées sur le navigateur incluent GootLoader, SocGholish, BATLOADER et maintenant Nitrogen », eSentire dit. « Fait intéressant, ALPHV a été observé comme une fin de partie pour au moins deux de ces logiciels malveillants à accès initial basés sur un navigateur : GootLoader et Nitrogen. »

La nature en constante évolution du paysage des ransomwares est également mise en évidence par le fait que 29 des 60 groupes de ransomwares actuellement actifs ont commencé leurs opérations cette année, selon WithSecure, en partie à cause des fuites de code source de Babuk, Conti et LockBit au fil des ans. .

« Les fuites de données ne sont pas la seule chose qui conduit les groupes plus âgés à polliniser les plus jeunes », WithSecure dit dans un rapport partagé avec The Hacker News.

« Les gangs de ransomwares ont du personnel comme une entreprise informatique. Et comme une entreprise informatique, les gens changent parfois d’emploi et apportent avec eux leurs compétences et leurs connaissances uniques. Contrairement aux entreprises informatiques légitimes, cependant, rien n’empêche un cybercriminel de prendre des ressources propriétaires ( (tels que du code ou des outils) provenant d’une opération de ransomware et de son utilisation lors d’une autre. Il n’y a pas d’honneur parmi les voleurs.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.





ttn-fr-57