Support technique
Documentation
Connexion
Nous contacter
L'agence américaine de cybersécurité et de sécurité des infrastructures (CISA) et le Federal Bureau of Investigation (FBI) ont lancé une mise en garde contre la menace du ransomware Rhysida. ransomware Rhysida. Selon l'avertissement du FBI et CISAil a été constaté que les acteurs de la menace lancent des attaques ciblant des organisations de différents secteurs.
Aujourd'hui, nous allons partager avec vous tous les renseignements sur les menaces concernant Rhysida. renseignements sur les menaces concernant Rhysida afin que vous soyez bien équipé pour protéger votre organisation.
Rapports de veille sur les menaces du ransomware Rhysida
Des recherches menées par Kaspersky ont révélé que les acteurs de la menace Rhysida utilisent un logiciel malveillant voleur d'informations appelé Lumar pour mener des attaques par ransomware. Le voleur d'informations est capable d'extraire différents types de données :
- Mots de passe.
- Cookies.
- Sessions de télégrammes.
- Fichiers de bureau.
- Les crypto-monnaies.
Les rapports de veille sur les menaces de cybersécurité révèlent également que le logiciel malveillant, conçu en C++, est capable de contourner les protocoles de détection, même sur les systèmes d'exploitation les plus récents comme Windows 11. Il convient de noter que Rhysida peut crypter les Active Directories, ce qui permet aux attaquants de demander une rançon pour le décryptage.
La recherche recherches de Forta ont révélé que l'équipe de Rhysida ciblait activement les entreprises du secteur de la santé. Les dommages potentiels liés à l'utilisation de Rhysida sont très graves. Cela dit, le respect des pratiques exemplaires en matière de cybersécurité est devenue une nécessité pour les organisations, quel que soit leur secteur d'activité.
Avertissement conjoint FBI-CISA
A alerte aux attaques de ransomware indique qu'ils ont élargi leur cible au cours des derniers mois. Un extrait du rapport d'alerte se lit comme suit : "Observé comme un modèle de ransomware-as-a-service (RaaS), les acteurs de Rhysida ont compromis des organisations dans les secteurs de l'éducation, de la fabrication, des technologies de l'information et du gouvernement, et toute rançon payée est répartie entre le groupe et ses affiliés."
En outre, des rapports décrivent le groupe comme se livrant à des attaques opportunistes. Ces acteurs de la menace sont connus pour utiliser des techniques de "living-off-the-land" (LotL) afin de pénétrer dans des cibles, d'établir un accès à un réseau privé virtuel (VPN) et d'effectuer des mouvements latéraux afin d'étendre la surface d'attaque.
Les personnes vulnérables à ces menaces doivent comprendre que le concept de cette approche consiste à se fondre dans les activités légitimes du réseau et du système Windows. Une fois qu'ils se sont fondus dans le paysage, les acteurs de la menace sont en mesure d'éliminer la possibilité d'être détectés par les services d'intervention en cas d'incident de équipes de réponse aux incidents de cybersécurité de cybersécurité.
Avis sur le ransomware Rhysida - Détails de l'attaque
Les attaques en ligne menées par Rhysida ont fait surface pour la première fois en mai 2023. On pense que ces acteurs de la menace exploitent des services distants orientés vers l'extérieur tels que les VPN, la vulnérabilité Zerologon (CVE-2020-1472) et des campagnes d'hameçonnage pour accéder au réseau.
Après avoir accédé au réseau et aux données d'une organisation, Rhysida utilise une double technique d'extorsion. Ceux qui sont victimes de ces attaques doivent soit payer la rançon, soit faire face à la menace de publication des données volées.
L'acteur de la menace est soupçonné d'avoir des liens avec un autre groupe de ransomware, Vice Societyétant donné les similitudes dans le ciblage et les tactiques d'attaque. Avant d'élaborer des stratégies de défense contre les stratégies de défense contre les ransomwaresles professionnels de la sécurité doivent savoir ce qui distingue Rhysida.
Le groupe de ransomware fonctionne comme une entreprise informatique tout en conservant une base d'employés structurée. En outre, ces acteurs de la menace suivent des directives strictes pour dissimuler leurs opérations et les mener à bien en utilisant le réseau Tor.
Conclusion
Le FBI et la CISA ont lancé une alerte concernant un groupe de ransomware appelé Rhysida qui cible des organisations de différents secteurs. Le groupe est connu pour exploiter la norme CVE-2020-1472, utiliser des techniques d'hameçonnage et recourir à une double extorsion.
Compte tenu de la gravité de l'attaque et des dommages qu'elle a causés, la protection contre les ransomwares et apprendre comment s'en remettre sont essentielles pour les entreprises qui cherchent à améliorer leur posture de sécurité et à protéger leur réseau.
Les sources de cet article comprennent des articles dans The Hacker News et Cybersecurity Insiders.
