Η ομάδα Rhysida, χρησιμοποιεί ransomware για να κρυπτογραφήσει τα αρχεία των θυμάτων και να απαιτήσει πληρωμή, συνήθως σε κρυπτονομίσματα, για να επιτρέψει έπειτα την αποκρυπτογράφηση.
Αυτή η τακτική τους επιτρέπει να απαιτούν χρήματα εκμεταλλευόμενοι τις ευπάθειες σε ψηφιακά συστήματα:
- Ατόμων
- Επιχειρήσεων
- Οργανώσεων
Διαβάστε επίσης: Insomniac Games: Επλήγη από επίθεση του ransomware Rhysida
Τον Μάιο του 2023, έφτασε η νέα παραλλαγή ransomware που απειλεί ενεργά πολλές βιομηχανίες παγκοσμίως. Το νέο ransomware έχει προσβάλλει πολλούς οργανισμούς, όπως:
- Κυβέρνηση
- Εκπαίδευση
- Φροντίδα υγείας
- IT (βιομηχανίες πληροφορικής)
- Βιομηχανοποίηση
Η Fortinet δημοσίευσε μια πλήρη αναφορά για τις επιθέσεις ransomware με το όνομα Rhysida, οι οποίες στοχεύουν συσκευές Windows μέσω συνδέσεων VPN και RDP.
Νέο Rhysida Ransomware
Η ομάδα Rhysida διέπραξε τολμηρή επίθεση εναντίον του στρατού της Χιλής, με αποτέλεσμα να υπάρξουν πάνω από 50 θύματα. Αυτή η ομάδα παρουσιάζεται ως μια ομάδα κυβερνοασφάλειας από τις 23 Μαΐου και αποκαλύπτει ευπάθειες στον τομέα της ασφάλειας.
Το Rhysida αποκλείει την κρυπτογράφηση ορισμένων συγκεκριμένων αρχείων και εκτελεί την περαιτέρω διαδικασία κρυπτογράφησης με:
- Κλειδί RSA 4096-bit
- Αλγόριθμο ChaCha20
Επιπλέον, όλα τα κρυπτογραφημένα αρχεία φέρουν την επέκταση .rhysida, η οποία αλλάζει την ταπετσαρία και στη συνέχεια αφήνει ένα αρχείο PDF ως σημείωση λύτρων.
Οι χειριστές του Rhysida Ransomware χακάρουν τα θύματά τους με τη χρήση νέων εκμεταλλεύσεων ή σκοτεινών διαπιστευτηρίων στον υπόκοσμο του ιστού. Οι κακόβουλοι χρήστες εκμεταλλεύονται το επιθυμητό φορτίο Rhysida ή άλλα ransomware, όπως το QuantumLocker, και σε ορισμένες περιπτώσεις αξιοποιούν κλεμμένα δεδομένα για εκβιασμό, χωρίς να κρυπτογραφούν τα αρχεία.
Παραβίαση χειριστή Rhysida μέσω:
- Διαδικτυακές εφαρμογές
- RDP
- Εξουσιοδότηση VPN
Δείτε ακόμη: Νorton Healthcare: Παρέχει Προστασία Ταυτότητας μετά από τη Ransomware Επίθεση
Οι hackers χρησιμοποιούν τεχνικές όπως το phishing για την εύρεση στόχων. Αναπτύσσοντας εργαλεία, όπως το CobaltStrike, επεκτείνουν τις δυνατότητές τους μέσω injections και exploits.
Διαγράφοντας τα ίχνη τους, εξαπλώνονται μέσω RDP, SSH και εργαλείων όπως το PsExec. Αφήνοντας το Anydesk για πρόσβαση, εκμεταλλεύονται δεδομένα με εργαλεία όπως το DataGrabber1 για λύτρα ή πώληση.
Πηγή: gbhackers.com
