CISA ve FBI, Rhysida Fidye Yazılımı Çifte Gasp Saldırıları Hakkında Uyarı Yayınladı - Dünyadan Güncel Teknoloji Haberleri

CISA ve FBI, Rhysida Fidye Yazılımı Çifte Gasp Saldırıları Hakkında Uyarı Yayınladı - Dünyadan Güncel Teknoloji Haberleri


Arkasındaki tehdit aktörleri Rhysida fidye yazılımı Çeşitli endüstri sektörlerini kapsayan kuruluşları hedef alan fırsatçı saldırılara girişmek

Ajanslar, “Hizmet olarak fidye yazılımı (RaaS) modeli olarak gözlemlenen Rhysida aktörleri, eğitim, üretim, bilgi teknolojisi ve devlet sektörlerindeki kuruluşları tehlikeye attı ve ödenen fidye, grup ve bağlı kuruluşlar arasında paylaştırıldı ”

Fidye yazılımı ortamının sürekli gelişen doğası, WithSecure’e göre şu anda aktif olan 60 fidye yazılımı grubundan 29’unun, kısmen Babuk, Conti ve LockBit’in yıllar içinde gerçekleştirdiği kaynak kodu sızıntılarının etkisiyle bu yıl faaliyete geçmesiyle de kanıtlanıyor

Malwarebytes tarafından derlenen istatistiklere göre Rhysida, beş kurban Ekim 2023 ayı için LockBit (64), NoEscape (40), PLAY (36), ALPHV/BlackCat (29) ve 8BASE’in (21) çok gerisinde kaldı ” söz konusu ” söz konusu

Bunu yaparken amaç meşru Windows sistemlerine ve ağ etkinliklerine karışarak tespit edilmekten kaçınmaktır

Ayrıca söyleniyor çakışmaları paylaş Benzer hedefleme kalıpları ve NTDSUtil’in yanı sıra yalnızca ikincisi tarafından kullanılan PortStarter kullanımı nedeniyle Vice Society (diğer adıyla Storm-0832 veya Vanilla Tempest) olarak bilinen başka bir fidye yazılımı ekibiyle

“Rhysida aktörleri, bir ağ içinde ilk erişim ve kalıcılığı elde etmek için sanal özel ağlar (VPN’ler), Zerologon güvenlik açığı (CVE-2020-1472) ve kimlik avı kampanyaları gibi dışarıya yönelik uzak hizmetlerden yararlanıyor

Ajanslar, grubun hedefleri aşmak için fırsatçı saldırılara giriştiğini ve yatay hareketi kolaylaştırmak ve VPN erişimi sağlamak için arazide yaşama (LotL) tekniklerinden yararlandığını açıkladı

Danışmanlık, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Federal Soruşturma Bürosu (FBI) ve Çok Eyaletli Bilgi Paylaşımı ve Analiz Merkezi’nin (MS-ISAC) izniyle geliyor Ancak yasal BT şirketlerinin aksine, bir siber suçlunun özel kaynakları ele geçirmesini engelleyen hiçbir şey yoktur ( kod veya araçlar gibi) bir fidye yazılımı operasyonundan alıp diğerinde kullanmak ” söz konusu

Siber güvenlik şirketi kümeyi TAC5279 adı altında takip ediyor

Sophos araştırmacıları Colin Cowie ve Morgan Demboski, “Fidye yazılımı grubunun veri sızıntısı sitesine göre, Vice Society’nin Temmuz 2023’ten bu yana, Rhysida’nın kurbanları kendi sitesinde bildirmeye başladığı dönemden beri bir kurban yayınlamaması dikkat çekicidir ”





siber-2

Kanadalı siber güvenlik şirketi, “Bu bağlı kuruluş, iş profesyonellerini saldırganların kontrolündeki web sitelerine çekmek için Gelişmiş IP Tarayıcı, Slack, WinSCP ve Cisco AnyConnect gibi popüler yazılımları tanıtan Google reklamlarını yayınlıyor” dedi

Vice Society’nin Rhysida’ya yönelimi, Sophos tarafından geçen haftanın başlarında yayınlanan ve aynı tehdit aktörünün Rhysida’yı konuşlandırmaya geçtiği Haziran 2023’e kadar Vice Society’yi kullandığını gözlemleyen yeni araştırmanın ardından güçlendi

Gelişme, eSentire’e göre BlackCat fidye yazılımı Çetesinin, Nitrogen kötü amaçlı yazılımıyla bağlantılı Google reklamlarını kullanarak şirketlere ve kamu kuruluşlarına saldırmasıyla ortaya çıktı ”

İlk olarak Mayıs 2023’te tespit edilen Rhysida, zaman içinde test edilmiş çifte gasp taktiğini kullanarak kurban verilerinin şifresini çözmek için fidye ödemesi talep ediyor ve fidye ödenmediği takdirde sızdırılan verileri yayınlamakla tehdit ediyor

Hileli yükleyiciler, fidye yazılımı da dahil olmak üzere güvenliği ihlal edilmiş bir ortama sonraki aşamadaki yükleri dağıtabilen, ilk erişime sahip bir kötü amaçlı yazılım olan Nitrogen ile donatılmış olarak geliyor

eSentire, “Tarayıcı tabanlı saldırılardan yararlanan, fidye yazılımıyla ilişkili ilk erişime sahip kötü amaçlı yazılımların bilinen örnekleri arasında GootLoader, SocGholish, BATLOADER ve şimdi de Nitrogen yer alıyor Hırsızlar arasında onur yoktur

WithSecure, “Veri sızıntıları yaşlı grupların genç gruplarla çapraz döllenmesine yol açan tek şey değil” söz konusu The Hacker News ile paylaşılan bir raporda

“Fidye yazılımı çetelerinin tıpkı bir BT şirketi gibi personeli vardır “İlginçtir ki ALPHV, tarayıcı tabanlı ilk erişime sahip kötü amaçlı yazılımlardan en az ikisi için bir son oyun olarak gözlemlendi: GootLoader ve Nitrogen Ve bir BT şirketi gibi, insanlar da bazen iş değiştirir ve benzersiz beceri ve bilgilerini yanlarında getirirler