A Rhysida ransomware kijátszása
A Rhysida ransomware, amely először 2023 elején volt aktív, többszintű infrastruktúrát és CleanUpLoader-t használ a post-exploitation tevékenységekhez. Az Insikt Group a Recorded Future hálózati intelligenciáját felhasználva átlagosan 30 nappal azelőtt azonosította a Rhysida áldozatait, hogy azok megjelentek volna a nyilvános zsarolóoldalakon, ami kritikus időt kínál a ransomware telepítésének megelőzésére és a károk enyhítésére. Az infrastruktúra magában foglalja a typosquatted domaineket, a SEO-mérgezést és a C2-infrastruktúrát a kiszivárgást követő tevékenységekhez. A CleanUpLoader, amelyet általában szoftvertelepítőnek álcáznak, segíti a Rhysida-t az adatok kiszivárgásában és a perzisztenciában. A Rhysida olyan szektorokat céloz meg, mint az egészségügy és az oktatás, és mind a Windows, mind a Linux-alapú rendszerekre összpontosít.
A Rhysidához hasonló kifinomult ransomware csoportok világszerte jelentős hatással vannak a szervezetekre. Ez a csoport 2023 januárja óta aktív, és folyamatosan fejleszti taktikáit. A CleanUpLoader-t kihasználva az utólagos feltáráshoz, a Rhysida végső célja pedig az, hogy jelentős károkat okozzon. Az Insikt Groupt részletes elemzése elmélyül abban, hogy a Rhysida hogyan használja többszintű infrastruktúráját és a CleanUpLoader-t a ransomware támadások végrehajtásához.
Mint sok modern zsarolóvírus csoport, a Rhysida is többszintű infrastruktúrát használ a támadások végrehajtásához. A Rhysida a népszerű szoftverletöltő oldalakra hasonlító, tipográfiailag elírt (typosquatted) domainek létrehozásával ráveszi a felhasználókat, hogy fertőzött fájlokat töltsenek le. Ez a technika különösen hatékony, ha SEO-mérgezéssel párosul, amelynek során ezek a domainek magasabbra kerülnek a keresőmotorok találati listáján, így legitim letöltési forrásként jelennek meg. Amint a felhasználó rákattint az egyik ilyen rosszindulatú domainre, átirányítják a CleanUpLoader-t tároló payload szerverre, amelyet a támadó a kihasználás utáni fázisban használ fel.
