Rhysida勒索软件团伙分析
内部编号
DBAPP-LY-23112702
关键词
基础设施、勒索软件
发布日期
2023年11月27日
更新日期
2023年11月27日
分析团队
安恒研究院猎影实验室
01
勒索组织概况
Rhysida勒索组织首次被披露于2023年5月,该组织发现之初最为出名的是攻击智利军队并窃取大量内部数据来索要赎金,截止目前,在其博客网站上已经有60多个组织或机构成为受害者。
Rhysida使用双重勒索策略,加密文件并且窃取敏感数据,并且使用勒索即服务(RaaS)的运营模式。在加密受害者文件后附加.rhysida的后缀名,释放的勒索信文件也与其他勒索组织不同,其是名为“CriticalBreachDetected.pdf”的PDF格式文件,并在内容中将自己定位为**“网络安全团队”**。
02
受害者研究
安恒猎影实验室长期对全球勒索攻击态势和勒索组织进行跟踪和监测,我们对Rhysida勒索组织受害者进行统计分析发现,目前共有60多名受害者在其泄露网站上被公开披露,其中3家目前为数据待公开阶段,其余是已经公开/售卖部分数据或全部数据。
对受害者进行国家/地区统计,受害者分布目前主要在欧美和中东地区,其中受害者最多的国家为美国、英国和意大利,但Rhysida并不局限地区,全球范围都有可能是目标。
针对Rhysida攻击的行业进行统计,该组织目前主要针对教育、医疗保健、政府和公共机构,以及制造业相关行业进行攻击。在受害者中,教育领域占据1/3以上,但政府机构和医疗保健相关的受害者影响比较突出,例如在今年9月,美国医疗公司Prospect Medical Holdings 遭受Rhysida的网络攻击,影响了美国各地的17家医院和 166家诊所。
03
Rhysida勒索组织画像
Rhysida勒索组织画像如下:
勒索组织名称
Rhysida
首次出现时间
2023年5月
名称来源
勒索信中的自称Rhysida
加密算法
数学RSA与ChaCha20加密
解密工具
暂无
感染和传播方式
主要通过有效凭证对内部VPN访问、利用Zerologon (CVE-2020-1472)漏洞和网络钓鱼邮件
加密后缀
.rhysida
勒索信名称
CriticalBreachDetected.pdf
加密目标系统
Windows、Linux
运营方式
勒索即服务模式
是否多重勒索
是,加密+窃取数据
针对国家和地区
不限,主要在欧美和中东
针对行业
不限,主要为政府、教育、医疗保健和制造业
联系邮箱
rhysidaeverywhere@onionmail.org
04
近期Rhysida其他相关攻击事件
大英图书馆遭受网络攻击
2023年11月20日,英国国家图书馆大英图书馆在受到网络攻击影响近一个月后,仍持续出现重大技术中断,该攻击已被证实涉及勒索软件。在 Rhysida 勒索软件团伙声称对此次攻击负责并寻求价值近 75 万美元的比特币作为泄露文件的赎金后,大英图书馆披露,勒索软件操作泄露的信息来自其内部 HR 文件。
FBI发布网络安全公告警告 Rhysida 勒索软件攻击
2023年11月15日,FBI 和 CISA 发布了联合网络安全公告 (CSA),警告 Rhysida 勒索软件攻击。该通报旨在传播有关与勒索软件团体相关的策略、技术和程序(TTP)以及危害指标(IOC)的信息。
Rhysida 团伙对欧美多地医疗保健行业发起攻击
2023年8月,美国医疗保健公司Prospect Medical Holdings (PMH)遭受Rhysida 勒索组织的攻击,声称窃取了 500,000 个社会安全号码、公司文件和患者记录.这次网络攻击导致医院关闭了 IT 网络以防止攻击蔓延,迫使医院重新使用纸质图表,影响了16 家医院以及由 166 个门诊诊所。此外在其网站上还显示攻击了欧美多地的医疗保健相关机构和组织。
05
Rhysida勒索样本分析
我们对该组织以往勒索样本进行分析,Rhysida在入侵目标系统后,执行一系列脚本和工具用于横向移动、窃取和传输凭证和协助加密。部署的勒索软件使用RSA和ChaCha20组合的密码算法来加密文件,这种组合方式在没有对应密钥的情况下无法解密。勒索程序在配置时可以添加参数,-d用于添加加密路径,-sr在执行结束后自删除。
加密过程中会跳过一些指定扩展名的文件类型和文件夹,避免加密系统文件。
需要跳过的文件扩展名和文件名称:
.bat,.bin,.cab,.cmd,com,.cur,.diagcab,.diagcfg,.diagpkg,.drv,dll,.exe,.hlp,.hta,.ico,.lnk,,.msi,.ocx,.ps1,.psm1,.scr,.sys,.ini,Thumbs.db,.url,.iso
避免加密的文件夹名称:
boot,Document and Settings,Perflogs,,Program Files (x86),Program Files,ProgramData,Recovery,Windows, System Volume Information, $RECYLE.BIN
加密时,在加密文件末尾附加.rhysida的扩展名,并释放PDF格式的勒索信文件CriticalBreachDetected.pdf。
此外,该勒索加密成功后,更改桌面壁纸,但该功能视样本情况,有些并未触发。
“
防范建议
1.及时备份重要数据。
2.不随意打开来源不明的程序。
3.不访问未知安全性的网站等。
4.使用合格的安全产品
5.定期检查系统日志中是否有可疑事件
6.重要资料的共享文件夹应设置访问权限控制,并进行定期离线备份, 关闭不必要的文件共享功能
7.不要轻信不明邮件,提高安全意识
“
安恒信息产品已集成能力
针对该事件中的最新IoC情报,以下产品的版本可自动完成更新,若无法自动更新则请联系技术人员手动更新:
1.AiLPHA分析平台V5.0.0及以上版本
2.AiNTA设备V1.2.2及以上版本
3.AXDR平台V2.0.3及以上版本
4.APT设备V2.0.67及以上版本
5.EDR产品V2.0.17及以上版本
安恒信息再次提醒广大用户,请谨慎对待互联网中来历不明的文件,如有需要,请上传至安恒云沙箱https://sandbox.dbappsecurity.com.cn/,进行后续判断。
安恒云沙箱反馈与合作请联系:sandbox@dbappsecurity.com.cn
往期推荐
