Главная страница » IOC
0
2 года
IOC

Rhysida Ransomware IOCs

ransomware

Rhysida ransomware - новая группа, использующая модель Ransomware-as-a-Service (RaaS), состоящую из разработчиков, которые создают и предоставляют ransomware, инфраструктуру, необходимую для его работы, и филиалов, осуществляющих атаки на жертв. Первый образец ransomware был отправлен в публичный сервис сканирования файлов в мае 2023 года.

4 августа 2023 года Координационный центр кибербезопасности сектора здравоохранения (HC3) выпустил отраслевое предупреждение о наличии программы Rhysida ransomware.

Rhysida Ransomware

Как сообщается в оповещении HC3, в качестве вектора заражения угрозы Rhysida используют фишинговые атаки. Также сообщается, что злоумышленники используют Cobalt Strike для латерального перемещения в сети жертвы и доставки полезной нагрузки. Cobalt Strike рекламируется как инструмент эмуляции противника для специалистов по информационной безопасности, позволяющий оценить защиту сетей и систем. Однако киберпреступники часто используют его для компрометации сетей и создания постоянных каналов связи между злоумышленником и жертвой.

На сайте утечки, используемом группой Rhysida для продажи и обнародования данных жертв, в настоящее время зарегистрирована 41 жертва. Несмотря на то, что Rhysida поразила организации по всему миру, более 50% пострадавших организаций находятся в Европе, на втором месте - Северная Америка. Также пострадали организации в Азиатско-Тихоокеанском регионе (APAC), Латинской Америке, на Ближнем Востоке и в Африке. Более 30% жертв приходится на образовательный сектор (за одним исключением - все пострадавшие организации образовательного сектора расположены в Европе и Северной Америке), далее следуют производственные, правительственные и ИТ-компании.

После компрометации сети жертвы Rhysidia, вероятно, использует Cobalt Strike для перемещения по сети и выполнения функций командного центра. Программа находит и шифрует данные с помощью алгоритма ChaCha, добавляя к пораженным файлам расширение ".rhysida".

Rhysida ransomware избегает шифрования файлов, имеющих следующие расширения файлов:

  • bat
  • .bin
  • .cab
  • .cmd
  • .com
  • .cur
  • .diagcab
  • .diagcfg
  • .diagpkg
  • .dll
  • .drv
  • .exe
  • .hlp
  • .hta
  • .ico
  • .ini
  • .ini
  • .iso
  • .lnk
  • .msi
  • .ocx
  • .ps1
  • .psm1
  • .scr
  • .sys
  • .Thumbs.db
  • .url

Он также позволяет избежать шифрования файлов в следующих папках:

  • ApzData
  • Boot
  • Documents and Settings
  • PerfLogs
  • Program Files
  • Program Files (x86)
  • ProgramData
  • Recovery
  • System Volume Information
  • Windows
  • $Recycle.Bin

Один из ранних образцов Rhysida ransomware (SHA2: a864282fea5a536510ae86c77ce46f7827687783628e4f2ceb5bf2c41b8cd3c6) распространяет записку с выкупом в формате PDF под названием "CriticalBreachDetected.pdf". В записке содержится адрес TOR-сайта Rhysida, который жертвам предлагается посетить для связи со злоумышленником. Образец утверждает, что он был создан 15 мая 2023 года.

Судя по всему, 17 мая злоумышленник создал новый вариант (SHA2: 258ddd78655ac0587f64d7146e52549115b67465302c0cbd15a0cba746f05595), в котором содержится записка с тем же названием о выкупе. Однако в качестве альтернативного способа связи угроза указала несколько адресов электронной почты, вероятно, на случай, если жертвы не знакомы с TOR.

Один из исследованных нами образцов Rhysida заменял обои рабочего стола тем же сообщением о выкупе, что и сброшенный PDF-файл.

Группа Rhysida также использует сайт утечки данных на TOR для переговоров о выкупе и обнародования похищенных у жертв данных.

Indicators of Compromise

SHA256

  • 0bb0e1fcff8ccf54c6f9ecfd4bbb6757f6a25cb0e7a173d12cf0f402a3ae706f
  • 1a9c27e5be8c58da1c02fc4245a07831d5d431cdd1a91cd35d2dd0ad62da71cd
  • 258ddd78655ac0587f64d7146e52549115b67465302c0cbd15a0cba746f05595
  • 2c5d3fea7ad3c9c49e9c1a154370229c86c48fbaf7044213fd85d31efcebf7f6
  • 3518195c256aa940c607f8534c91b5a9cd453c7417810de3cd4d262e2906d24f
  • 3d2013c2ba0aa1c0475cab186ddf3d9005133fe5f88b5d8604b46673b96a40d8
  • 67a78b39e760e3460a135a7e4fa096ab6ce6b013658103890c866d9401928ba5
  • a864282fea5a536510ae86c77ce46f7827687783628e4f2ceb5bf2c41b8cd3c6
  • d5c2f87033a5baeeb1b5b681f2c4a156ff1c05ccd1bfdaf6eae019fc4d5320ee
  • f6f74e05e24dd2e4e60e5fb50f73fc720ee826a43f2f0056e5b88724fa06fbab

 

Комментарии: 0
Похожие записи
0
2 дня
IOC

Кампания CrazyHunter нацелена на критически важные секторы экономики Тайваня

security
Группа вымогателей CrazyHunter стала серьезной угрозой для организаций в Тайване, особенно в сферах здравоохранения, образования и промышленности. Они используют сложные техники, такие как метод "принеси
0
5 дней
IOC

Вредоносные пакеты NPM нацелены на пользователей PayPal

security
Система обнаружения вредоносных программ OSS, управляемая искусственным интеллектом, компании FortiGuard Labs недавно обнаружила серию вредоносных пакетов NPM, предназначенных для кражи конфиденциальной информации из взломанных систем.