Home » News » Cybersecurity » Rhysida Ransomware jetzt noch gefährlicher

Rhysida Ransomware jetzt noch gefährlicher

Die Parallelen zwischen der Rhysida-Ransomware und der berüchtigten Vice Society sind nicht zu übersehen: Ihre Vorgehensweisen, Taktiken und Instrumente weisen beachtliche Übereinstimmungen auf.

·

Redaktion IT-SICHERHEIT (cs)

1 Min. Lesezeit
Foto: ©AdobeStock/gangiskhan

Die Erkenntnisse von Check Point Research (CPR), der Threat-Intelligence-Abteilung von Check Point Software Technologies, verknüpfen die Rhysida-Ransomware eng mit der gefürchteten Vice Society. Aktuelle Informationen legen nahe, dass die Vice Society diese neue Ransomware einsetzt – möglicherweise nicht exklusiv, aber vornehmlich. Ein Beispiel für ihren Angriffserfolg ist der Unified School District in Los Angeles, der zweitgrößte Schuldbezirk der USA mit über 640.000 Schülern von der Grundschule bis zur High School. Dieser District umfasst mehr als 900 öffentliche Schulen und 190 Charter-Schulen. Interessanterweise modifiziert die Vice Society gelegentlich ihre Ransomware-Nutzlast, was darauf hinweist, dass sie nun wohl Rhysida verwenden.

Die Rhysida-Ransomware weist eine Palette an Funktionen auf:

  • Remote Desktop Protocol

Bei der Infiltration setzen die Angreifer RDP-Verbindungen ein und gehen dabei so vor, dass zugehörige Protokolle und Einträge in den Registern entfernt werden, was die Erkennung und Analyse erschwert. RDP erweist sich nach wie vor als effiziente Methode, um innerhalb einer IT-Umgebung seitliche Bewegungen zu vollziehen.

  • Remote PowerShell Sessions (WinRM)

Während der Angreifer über RDP eine externe Verbindung aufbaute, wurde er dabei beobachtet, wie er Remote-PowerShell-Verbindungen zu Servern innerhalb des Systems initiierte. Dies wurde einige Tage vor dem Einsatz der eigentlichen Ransomware-Nutzlast beobachtet.

  • PsExec

Die eigentliche Ransomware-Nutzlast wurde mittels PsExec in zwei Stufen von einem internen Server innerhalb der IT-Umgebung verteilt:

  • Kopieren der schädlichen Nutzlast
  • Ausführen der schädlichen Nutzlast

Die Entdeckung der Rhysida-Ransomware datiert auf Mai 2023, seitdem wird ihr eine Reihe von verhängnisvollen Angriffen zugeschrieben, darunter die Attacke auf die chilenische Armee. In den USA wird sie für den Angriff auf Prospect Medical Holdings verantwortlich gemacht, wodurch 17 Krankenhäuser und 166 Kliniken betroffen waren. Als Reaktion darauf stufte das US-Gesundheitsministerium die Rhysida-Ransomware als „signifikante Bedrohung“ für den Gesundheitssektor ein.

 

Mehr Einzelheiten zur Rhysida-Ransomware finden Sie im Blog von Check Point Research.

 

 

Andere interessante News

Studie: Immer mehr Cyberangriffe auf kritische Infrastrukturen

Eine neue Studie zeigt, dass immer mehr Cyberangriffe auf kritische Infrastrukturen verübt werden, wobei fast 60 Prozent dieser Angriffe von staatlich unterstützten Gruppen durchgeführt werden. In 60 Prozent der Fälle führen diese Angriffe zu Betriebsunterbrechungen, was die Notwendigkeit proaktiver Schutz- und Reaktionsmaßnahmen für Betriebstechnologien unterstreicht.

Cybersecurity

Neuer Ransomware umgeht Erkennung durch Sicherheitslösungen

Eine neue Malware, entwickelt von der gefürchteten Ransomware-Gruppe Cuba, hat die Fähigkeit, fortschrittliche Erkennungssysteme zu überlisten. Diese Gruppe hat Unternehmen auf der ganzen Welt ins Visier genommen, einschließlich solcher in Deutschland und Österreich.

Cybersecurity

Kommentar: Ransomware-Angriff auf MGM Resorts

Am 12. September 2023 wurde MGM Resorts, ein US-amerikanischer Hotel- und Casinobetreiber, Berichten zufolge von einem Ransomware-Angriff getroffen, der mehrere Systeme an wichtigen Standorten in Las Vegas lahmlegte.

Cybersecurity