CISA ve FBI, Rhysida Fidye Yazılımı Çifte Gasp Saldırıları Hakkında Uyarı Yayınladı - Dünyadan Güncel Teknoloji Haberleri

CISA ve FBI, Rhysida Fidye Yazılımı Çifte Gasp Saldırıları Hakkında Uyarı Yayınladı - Dünyadan Güncel Teknoloji Haberleri

Sophos araştırmacıları Colin Cowie ve Morgan Demboski, “Fidye yazılımı grubunun veri sızıntısı sitesine göre, Vice Society’nin Temmuz 2023’ten bu yana, Rhysida’nın kurbanları kendi sitesinde bildirmeye başladığı dönemden beri bir kurban yayınlamaması dikkat çekicidir ”

İlk olarak Mayıs 2023’te tespit edilen Rhysida, zaman içinde test edilmiş çifte gasp taktiğini kullanarak kurban verilerinin şifresini çözmek için fidye ödemesi talep ediyor ve fidye ödenmediği takdirde sızdırılan verileri yayınlamakla tehdit ediyor ” söz konusu

Ajanslar, grubun hedefleri aşmak için fırsatçı saldırılara giriştiğini ve yatay hareketi kolaylaştırmak ve VPN erişimi sağlamak için arazide yaşama (LotL) tekniklerinden yararlandığını açıkladı

Ayrıca söyleniyor çakışmaları paylaş Benzer hedefleme kalıpları ve NTDSUtil’in yanı sıra yalnızca ikincisi tarafından kullanılan PortStarter kullanımı nedeniyle Vice Society (diğer adıyla Storm-0832 veya Vanilla Tempest) olarak bilinen başka bir fidye yazılımı ekibiyle

Hileli yükleyiciler, fidye yazılımı da dahil olmak üzere güvenliği ihlal edilmiş bir ortama sonraki aşamadaki yükleri dağıtabilen, ilk erişime sahip bir kötü amaçlı yazılım olan Nitrogen ile donatılmış olarak geliyor

Danışmanlık, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Federal Soruşturma Bürosu (FBI) ve Çok Eyaletli Bilgi Paylaşımı ve Analiz Merkezi’nin (MS-ISAC) izniyle geliyor ”





siber-2

“Fidye yazılımı çetelerinin tıpkı bir BT şirketi gibi personeli vardır ” söz konusu

Kanadalı siber güvenlik şirketi, “Bu bağlı kuruluş, iş profesyonellerini saldırganların kontrolündeki web sitelerine çekmek için Gelişmiş IP Tarayıcı, Slack, WinSCP ve Cisco AnyConnect gibi popüler yazılımları tanıtan Google reklamlarını yayınlıyor” dedi ” söz konusu

“Rhysida aktörleri, bir ağ içinde ilk erişim ve kalıcılığı elde etmek için sanal özel ağlar (VPN’ler), Zerologon güvenlik açığı (CVE-2020-1472) ve kimlik avı kampanyaları gibi dışarıya yönelik uzak hizmetlerden yararlanıyor Hırsızlar arasında onur yoktur

Ajanslar, “Hizmet olarak fidye yazılımı (RaaS) modeli olarak gözlemlenen Rhysida aktörleri, eğitim, üretim, bilgi teknolojisi ve devlet sektörlerindeki kuruluşları tehlikeye attı ve ödenen fidye, grup ve bağlı kuruluşlar arasında paylaştırıldı

Vice Society’nin Rhysida’ya yönelimi, Sophos tarafından geçen haftanın başlarında yayınlanan ve aynı tehdit aktörünün Rhysida’yı konuşlandırmaya geçtiği Haziran 2023’e kadar Vice Society’yi kullandığını gözlemleyen yeni araştırmanın ardından güçlendi

Malwarebytes tarafından derlenen istatistiklere göre Rhysida, beş kurban Ekim 2023 ayı için LockBit (64), NoEscape (40), PLAY (36), ALPHV/BlackCat (29) ve 8BASE’in (21) çok gerisinde kaldı Ancak yasal BT şirketlerinin aksine, bir siber suçlunun özel kaynakları ele geçirmesini engelleyen hiçbir şey yoktur ( kod veya araçlar gibi) bir fidye yazılımı operasyonundan alıp diğerinde kullanmak Ve bir BT şirketi gibi, insanlar da bazen iş değiştirir ve benzersiz beceri ve bilgilerini yanlarında getirirler

eSentire, “Tarayıcı tabanlı saldırılardan yararlanan, fidye yazılımıyla ilişkili ilk erişime sahip kötü amaçlı yazılımların bilinen örnekleri arasında GootLoader, SocGholish, BATLOADER ve şimdi de Nitrogen yer alıyor

Gelişme, eSentire’e göre BlackCat fidye yazılımı Çetesinin, Nitrogen kötü amaçlı yazılımıyla bağlantılı Google reklamlarını kullanarak şirketlere ve kamu kuruluşlarına saldırmasıyla ortaya çıktı

Siber güvenlik şirketi kümeyi TAC5279 adı altında takip ediyor ”

Fidye yazılımı ortamının sürekli gelişen doğası, WithSecure’e göre şu anda aktif olan 60 fidye yazılımı grubundan 29’unun, kısmen Babuk, Conti ve LockBit’in yıllar içinde gerçekleştirdiği kaynak kodu sızıntılarının etkisiyle bu yıl faaliyete geçmesiyle de kanıtlanıyor

Bunu yaparken amaç meşru Windows sistemlerine ve ağ etkinliklerine karışarak tespit edilmekten kaçınmaktır

WithSecure, “Veri sızıntıları yaşlı grupların genç gruplarla çapraz döllenmesine yol açan tek şey değil” söz konusu The Hacker News ile paylaşılan bir raporda “İlginçtir ki ALPHV, tarayıcı tabanlı ilk erişime sahip kötü amaçlı yazılımlardan en az ikisi için bir son oyun olarak gözlemlendi: GootLoader ve Nitrogen


Arkasındaki tehdit aktörleri Rhysida fidye yazılımı Çeşitli endüstri sektörlerini kapsayan kuruluşları hedef alan fırsatçı saldırılara girişmek