ClickCease FBI und CISA warnen vor der Ransomware-Bedrohung Rhysida

Inhaltsübersicht

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

FBI und CISA warnen vor der Ransomware-Bedrohung Rhysida

Wajahat Raja

27. November 2023. TuxCare Expertenteam

Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) und das Federal Bureau of Investigation (FBI) haben eine Warnung vor der Rhysida-Ransomware-Bedrohung. Laut der Warnung des FBI und der CISAwurde festgestellt, dass die Bedrohungsakteure Angriffe auf Unternehmen in verschiedenen Branchen durchführen.

Heute informieren wir Sie über alle Bedrohungsdaten über Rhysida um sicherzustellen, dass Sie für den Schutz Ihres Unternehmens gut gerüstet sind.

 

Rhysida Ransomware-Bedrohungsdatenberichte

Eine von Kaspersky durchgeführte Untersuchung hat ergeben, dass Rhysida-Bedrohungsakteure eine Info-Stealer-Malware namens Lumar verwenden, um Ransomware-Angriffe auszuführen. Der Info-Stealer ist in der Lage, verschiedene Arten von Daten zu extrahieren, unter anderem:

  • Passwörter.
  • Kekse.
  • Telegramm-Sitzungen.
  • Desktop-Dateien.
  • Kryptowährung. 

Cybersecurity-Bedrohungsdaten Berichte zeigen auch, dass die in C++ geschriebene Malware in der Lage ist, Erkennungsprotokolle selbst auf den neuesten Betriebssystemen wie Windows 11 zu umgehen. Es ist erwähnenswert, dass Rhysida Active Directories verschlüsseln kann, so dass die Angreifer für die Entschlüsselung ein Lösegeld verlangen können.

Weitere Nachforschungen von Forta haben ergeben, dass das Rhysida-Team aktiv auf Unternehmen im Gesundheitswesen abzielte. Der potenzielle Schaden, der entstehen kann, wenn man Rhysida zum Opfer fällt, ist sehr groß. Dennoch ist die Einhaltung von bewährte Verfahren der Cybersicherheit ist heute für Unternehmen aller Branchen eine Notwendigkeit geworden.


Gemeinsame Warnung von FBI und CISA 


A
Ransomware-Angriffswarnung heißt es, dass sie in den letzten Monaten ihr Ziel erweitert haben. Ein Auszug aus dem Beratungsbericht lautet: "Als Ransomware-as-a-Service (RaaS)-Modell haben Rhysida-Akteure Organisationen in den Bereichen Bildung, Fertigung, Informationstechnologie und Regierung kompromittiert, und jedes gezahlte Lösegeld wird zwischen der Gruppe und ihren Partnern aufgeteilt."

Darüber hinaus wird die Gruppe in Berichten als eine Gruppe beschrieben, die opportunistische Angriffe verübt. Diese Bedrohungsakteure sind dafür bekannt, dass sie "living-off-the-land"-Techniken einsetzen, um in Ziele einzudringen, einen VPN-Zugang (Virtual Private Network) einzurichten und seitliche Bewegungen durchzuführen, um die Angriffsfläche weiter zu vergrößern. 

Diejenigen, die für solche Bedrohungen anfällig sind, müssen verstehen, dass das Konzept hinter diesem Ansatz darin besteht, sich in legitime Netzwerk- und Windows-Systemaktivitäten zu integrieren. Sobald sich die Bedrohungsakteure in das System einfügen, können sie die Möglichkeit ausschließen, dass sie von Cybersicherheits-Reaktionsteams Teams entdeckt zu werden.


Rhysida Ransomware-Hinweis - Angriffsdetails  


Die von Rhysida durchgeführten Online-Angriffe tauchten erstmals im Mai 2023 auf. Es wird davon ausgegangen, dass diese Bedrohungsakteure externe Remote-Dienste wie VPNs, die Zerologon-Schwachstelle (
CVE-2020-1472) und Phishing-Kampagnen nutzen, um sich Zugang zum Netzwerk zu verschaffen.

Nachdem sich Rhysida Zugang zu einem Unternehmensnetzwerk und zu Daten verschafft hat, wendet es eine doppelte Erpressungstechnik an. Diejenigen, die den Angriffen zum Opfer fallen, müssen entweder das Lösegeld zahlen oder damit rechnen, dass die gestohlenen Daten veröffentlicht werden. 

Es wird vermutet, dass der Bedrohungsakteur Überschneidungen mit einer anderen Ransomware-Gruppe hat, Vice Societyaufgrund der Ähnlichkeiten in der Zielsetzung und Angriffstaktik. Vor der Entwicklung von Ransomware-Abwehrstrategienmüssen Sicherheitsexperten wissen, was Rhysida auszeichnet.

Die Ransomware-Gruppe arbeitet wie ein IT-Unternehmen und unterhält eine strukturierte Mitarbeiterbasis. Darüber hinaus befolgen diese Bedrohungsakteure strenge Richtlinien, um ihre Operationen zu verbergen, und führen ihre Operationen über das Tor-Netzwerk durch.


Schlussfolgerung 


Das FBI und die CISA haben eine Warnung zu einer Ransomware-Gruppe namens Rhysida herausgegeben, die es auf Unternehmen in verschiedenen Branchen abgesehen hat. Die Gruppe ist dafür bekannt, die Sicherheitslücke CVE-2020-1472 auszunutzen, Phishing-Techniken zu verwenden und doppelte Erpressung einzusetzen.

Angesichts der Schwere des Angriffs und der damit verbundenen Schäden, Schutz vor Ransomware und das Erlernen wie man sich davon erholt sind für Unternehmen, die ihre Sicherheitslage verbessern und ihr Netzwerk schützen wollen, unerlässlich.

Zu den Quellen für diesen Beitrag gehören Artikel in den Hacker-Nachrichten und Cybersecurity Insiders.

 

Zusammenfassung
FBI und CISA warnen vor der Ransomware-Bedrohung Rhysida
Artikel Name
FBI und CISA warnen vor der Ransomware-Bedrohung Rhysida
Beschreibung
Gewinnen Sie wichtige Erkenntnisse über die Rhysida-Ransomware-Bedrohung. Sichern Sie Ihre Systeme und bleiben Sie geschützt!
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter