Home » News » Cybersecurity » Rhysida Ransomware jetzt noch gefährlicher

Rhysida Ransomware jetzt noch gefährlicher

Die Parallelen zwischen der Rhysida-Ransomware und der berüchtigten Vice Society sind nicht zu übersehen: Ihre Vorgehensweisen, Taktiken und Instrumente weisen beachtliche Übereinstimmungen auf.

1 Min. Lesezeit
Eine vermummte Gestalt greift nach einem digitalen Bildschirm mit Code, der Hacking oder Cyberkriminalität symbolisiert. Die Präsenz der Rhysida-Ransomware macht die Szene noch gefährlicher, da ein großes rotes, kaputtes Vorhängeschloss-Symbol auf eine Sicherheitslücke oder einen Datendiebstahl hindeutet. Der dunkle Hintergrund mit roten Akzenten verstärkt den bedrohlichen Ton.
Foto: ©AdobeStock/gangiskhan

Die Erkenntnisse von Check Point Research (CPR), der Threat-Intelligence-Abteilung von Check Point Software Technologies, verknüpfen die Rhysida-Ransomware eng mit der gefürchteten Vice Society. Aktuelle Informationen legen nahe, dass die Vice Society diese neue Ransomware einsetzt – möglicherweise nicht exklusiv, aber vornehmlich. Ein Beispiel für ihren Angriffserfolg ist der Unified School District in Los Angeles, der zweitgrößte Schuldbezirk der USA mit über 640.000 Schülern von der Grundschule bis zur High School. Dieser District umfasst mehr als 900 öffentliche Schulen und 190 Charter-Schulen. Interessanterweise modifiziert die Vice Society gelegentlich ihre Ransomware-Nutzlast, was darauf hinweist, dass sie nun wohl Rhysida verwenden.

Die Rhysida-Ransomware weist eine Palette an Funktionen auf:

  • Remote Desktop Protocol

Bei der Infiltration setzen die Angreifer RDP-Verbindungen ein und gehen dabei so vor, dass zugehörige Protokolle und Einträge in den Registern entfernt werden, was die Erkennung und Analyse erschwert. RDP erweist sich nach wie vor als effiziente Methode, um innerhalb einer IT-Umgebung seitliche Bewegungen zu vollziehen.

  • Remote PowerShell Sessions (WinRM)

Während der Angreifer über RDP eine externe Verbindung aufbaute, wurde er dabei beobachtet, wie er Remote-PowerShell-Verbindungen zu Servern innerhalb des Systems initiierte. Dies wurde einige Tage vor dem Einsatz der eigentlichen Ransomware-Nutzlast beobachtet.

  • PsExec

Die eigentliche Ransomware-Nutzlast wurde mittels PsExec in zwei Stufen von einem internen Server innerhalb der IT-Umgebung verteilt:

  • Kopieren der schädlichen Nutzlast
  • Ausführen der schädlichen Nutzlast

Die Entdeckung der Rhysida-Ransomware datiert auf Mai 2023, seitdem wird ihr eine Reihe von verhängnisvollen Angriffen zugeschrieben, darunter die Attacke auf die chilenische Armee. In den USA wird sie für den Angriff auf Prospect Medical Holdings verantwortlich gemacht, wodurch 17 Krankenhäuser und 166 Kliniken betroffen waren. Als Reaktion darauf stufte das US-Gesundheitsministerium die Rhysida-Ransomware als „signifikante Bedrohung“ für den Gesundheitssektor ein.

 

Mehr Einzelheiten zur Rhysida-Ransomware finden Sie im Blog von Check Point Research.

 

 

Andere interessante News

Reihe von Netzwerkservern mit leuchtenden LED-Lichtern.

Warum starke IT nicht automatisch für Sicherheit steht

Vier von fünf Beschäftigten vertrauen auf die Kompetenz ihrer IT-Abteilung – doch genau dieses Vertrauen kann trügen. Werden Investitionen in die IT-Sicherheit vernachlässigt, stei...

API

Die vier größten Hürden im API Management meistern

APIs sind das digitale Nervensystem moderner Unternehmen. Doch mit ihrer wachsenden Zahl wachsen auch die Herausforderungen. Wer im KI-Zeitalter wettbewerbsfähig bleiben will, brau...

Gefährdete Netzwerke abstrakt dargestellt

Report: Netzwerk-Malware fast verdoppelt

Netzwerkbasierte Malware hat im Vergleich zum Vorquartal um 94 Prozent zugenommen. Aber: Auch Krypto-Miner, Zero-Day-Malware und Linux-basierte Bedrohungen legen laut neuem Interne...