Η ομάδα ransomware Rhysida δρα από τον Μάιο του 2023 και η ίδια υποστήριξε ότι κατάφερε να εισβάλει στο δίκτυο του κινεζικού κρατικού ομίλου ενέργειας China Energy Engineering Corporation.
Η συμμορία ransomware έχει επιτεθεί σε οργανισμούς από διάφορους κλάδους, όπως εκπαίδευση, υγειονομική περίθαλψη, κατασκευές, τεχνολογία πληροφοριών και κυβερνητικούς τομείς. Τα θύματα της ομάδας είναι στόχοι ευκαιρίας. Η χρήση του κακόβουλου λογισμικού Rhysida από κακόβουλους φορείς επηρεάζει κυρίως τους τομείς της εκπαίδευσης, της υγείας, της τεχνολογίας πληροφοριών και της κυβέρνησης.
Μια αναφορά ανοιχτού κώδικα αναλύει τις ομοιότητες μεταξύ των δραστηριοτήτων της ομάδας Vice Society (DEV-0832) και του Rhysida ransomware. Αποκαλύπτει την λειτουργία της Rhysida ως υπηρεσίας (RaaS), με κοινοποίηση κερδών από λύτρα. Οι επιτιθέμενοι χρησιμοποιούν εξωτερικές υπηρεσίες και εκμεταλλεύονται τεχνικές όπως το Zerologon για αρχική πρόσβαση στο δίκτυο. Σύμφωνα με πληροφορίες, οιhackers έχουν εκμεταλλευτεί το Zerologon (CVE-2020-1472) στο Netlogon Remote Protocol της Microsoft σε απόπειρες phishing. Η αναφορά αποκαλύπτει τη χρήση τεχνικών εργαλείων διαχείρισης δικτύου που βρίσκονται εκτός της γης.”
Δείτε επίσης: NoName Ransomware: Κυβερνοεπίθεση σε κρίσιμες οντότητες της Λετονίας
Η εταιρεία στη χώρα διαδραματίζει κρίσιμο ρόλο στον κλάδο, εμπλέκεται σε έργα άνθρακα, υδροηλεκτρικής, πυρηνικής ενέργειας και ανανεώσιμων πηγών ενέργειας. Η ransomware ομάδα Rhysida, απειλεί να θέσει σε δημοπρασία κλεμμένα δεδομένα της εταιρείας, ενώ πρόσφατα πρόσθεσε τη Βρετανική Βιβλιοθήκη στα θύματά της.
Η ανησυχία προκλήθηκε από τις επιθέσεις της ομάδας Rhysida, με αποτέλεσμα το FBI και η CISA να εκδίδουν συμβουλές κυβερνοασφάλειας. Αυτές οι συμβουλές περιλαμβάνουν τεχνικές, τακτικές και διαδικασίες που ανιχνεύθηκαν τον Σεπτέμβριο του 2023, στο πλαίσιο της πρωτοβουλίας #StopRansomware.
Πηγή: securityaffairs.com
