Rhysida Ransomware jetzt noch gefährlicher
Die Parallelen zwischen der Rhysida-Ransomware und der berüchtigten Vice Society sind nicht zu übersehen: Ihre Vorgehensweisen, Taktiken und Instrumente weisen beachtliche Übereinstimmungen auf.

Die Erkenntnisse von Check Point Research (CPR), der Threat-Intelligence-Abteilung von Check Point Software Technologies, verknüpfen die Rhysida-Ransomware eng mit der gefürchteten Vice Society. Aktuelle Informationen legen nahe, dass die Vice Society diese neue Ransomware einsetzt – möglicherweise nicht exklusiv, aber vornehmlich. Ein Beispiel für ihren Angriffserfolg ist der Unified School District in Los Angeles, der zweitgrößte Schuldbezirk der USA mit über 640.000 Schülern von der Grundschule bis zur High School. Dieser District umfasst mehr als 900 öffentliche Schulen und 190 Charter-Schulen. Interessanterweise modifiziert die Vice Society gelegentlich ihre Ransomware-Nutzlast, was darauf hinweist, dass sie nun wohl Rhysida verwenden.
Die Rhysida-Ransomware weist eine Palette an Funktionen auf:
- Remote Desktop Protocol
Bei der Infiltration setzen die Angreifer RDP-Verbindungen ein und gehen dabei so vor, dass zugehörige Protokolle und Einträge in den Registern entfernt werden, was die Erkennung und Analyse erschwert. RDP erweist sich nach wie vor als effiziente Methode, um innerhalb einer IT-Umgebung seitliche Bewegungen zu vollziehen.
- Remote PowerShell Sessions (WinRM)
Während der Angreifer über RDP eine externe Verbindung aufbaute, wurde er dabei beobachtet, wie er Remote-PowerShell-Verbindungen zu Servern innerhalb des Systems initiierte. Dies wurde einige Tage vor dem Einsatz der eigentlichen Ransomware-Nutzlast beobachtet.
- PsExec
Die eigentliche Ransomware-Nutzlast wurde mittels PsExec in zwei Stufen von einem internen Server innerhalb der IT-Umgebung verteilt:
- Kopieren der schädlichen Nutzlast
- Ausführen der schädlichen Nutzlast
Die Entdeckung der Rhysida-Ransomware datiert auf Mai 2023, seitdem wird ihr eine Reihe von verhängnisvollen Angriffen zugeschrieben, darunter die Attacke auf die chilenische Armee. In den USA wird sie für den Angriff auf Prospect Medical Holdings verantwortlich gemacht, wodurch 17 Krankenhäuser und 166 Kliniken betroffen waren. Als Reaktion darauf stufte das US-Gesundheitsministerium die Rhysida-Ransomware als „signifikante Bedrohung“ für den Gesundheitssektor ein.
Mehr Einzelheiten zur Rhysida-Ransomware finden Sie im Blog von Check Point Research.