Copilot ve Microsoft Azure için yeni Vectra AI Platform kapsamı ile tanışın

Vectra AI Japonya、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Hamburger simgesi üst satır
Hamburger simgesi orta çizgi
Hamburger simgesi alt satırı
cybercriminels
>
Fidye Yazılım Grubu

Rhysida

Rhysida, Mayıs 2023'te ortaya çıkan, sağlık ve eğitim gibi sektörleri hedef alan çifte gasp saldırılarıyla bilinen ve kötü şöhretli Vice Society fidye yazılımı grubuyla bağları olan bir Hizmet Olarak Fidye Yazılımı (RaaS) grubudur.

Rhysida'nın TTP'lerini tespit edin
Kurumunuz Rhysida Fidye Yazılımı Saldırılarına Karşı Güvende mi?
Arka plan
Hedefler
TTP'ler
Algılama
Sıkça Sorulan Sorular
Tehdit Brifingini izleyin

Rhysida'nın Kökeni

Rhysida fidye yazılımı ilk olarak Mayıs 2023'te gözlemlendi ve kısa sürede önde gelen bir Hizmet Olarak Fidye Yazılımı (RaaS) grubu olarak kendini kanıtladı. Kritik sektörleri hedef almasıyla bilinen Rhysida, Şili Ordusu ve ABD'de 17 hastane ve 166 kliniği etkileyen Prospect Medical Holdings gibi büyük kurumlara yönelik saldırılarla ilişkilendirildi. Grup kendisini "siber güvenlik ekibi" olarak tanıtırken çifte şantaj yapıyor: verileri şifrelemek ve fidye ödenmediği takdirde kamuya sızdırmakla tehdit etmek. Rhysida ve Vice Society fidye yazılım grubu arasında teknik ve operasyonel benzerlikler gözlemlendiğinden bu iki grup arasında giderek artan bağlantılar bulunmaktadır.

İsimleri olan "Rhysida" bir tür kırkayaktan türetilmiş olup, siber saldırılara yönelik gizli ve çok bacaklı yaklaşımlarını simgelemektedir.

Görüntü kaynağı: CISA

Rhysida'nın Kökeni
Hedefler

Rhysida'nın Hedefleri

Rhysida tarafından hedeflenen ülkeler

Öncelikle Kuzey Amerika, Avrupa ve Avustralya'da aktif olan Rhysida, Amerika Birleşik Devletleri, İtalya, İspanya ve Birleşik Krallık gibi ülkelerdeki kuruluşları hedef almıştır. Saldırıları, küresel erişimlerini yansıtacak şekilde çeşitli sektörlere yayılmıştır.

Görüntü kaynağı: SOCradar

Rhysida tarafından hedeflenen sektörler

Rhysida öncelikle eğitim, sağlık, devlet ve imalat sektörlerini hedef almakta ve kritik kurumlardaki güvenlik açıklarından yararlanmaktadır. Bu saldırılar genellikle operasyonel aksaklıklara ve önemli mali ve veri kayıplarına yol açmıştır.

Görüntü kaynağı: Trend Micro

Rhysida tarafından hedeflenen sektörler

Rhysida öncelikle eğitim, sağlık, devlet ve imalat sektörlerini hedef almakta ve kritik kurumlardaki güvenlik açıklarından yararlanmaktadır. Bu saldırılar genellikle operasyonel aksaklıklara ve önemli mali ve veri kayıplarına yol açmıştır.

Görüntü kaynağı: Trend Micro

Rhysida'nın Kurbanları

Rhysida, Şili Ordusuna saldırmanın yanı sıra, Prospect Medical Holdings'e yapılan saldırı da dahil olmak üzere sağlık sektörünü hedef almıştır. Ayrıca, aralarında Batı İskoçya Üniversitesi'nin de bulunduğu çeşitli eğitim kurumlarının ihlal edilmesinden de sorumludurlar.

Görüntü kaynağı: Trend Micro

Saldırı Yöntemi

Rhysida'nın Saldırı Yöntemi

İlk Erişim
Ayrıcalık Yükseltme
Savunma Kaçırma
Kimlik Bilgileri Erişimi
Keşif
Yanal Hareket
Koleksiyon
Yürütme
Sızma
Etki
Bilgisayarlar, akıllı telefonlar ve tabletler gibi çeşitli cihazlarla dolu dijital bir manzara üzerinde geniş bir ağ atan gölgeli bir figür. Ağ, saldırganın güvenlik açıklarını bulma veya yetkisiz erişim elde etmek için phishing tekniklerini kullanma girişimlerini sembolize eder.

Rhysida aktörleri, çok faktörlü kimlik doğrulama (MFA) olmadan VPN'ler gibi dışa dönük hizmetleri kullanarak tehlikeye atılmış kimlik bilgileri veya phishing aracılığıyla erişim elde eder. Zerologon güvenlik açığı (CVE-2020-1472) gibi istismarlar da kullanılmıştır.

Temel bir kullanıcı simgesinden yukarıya, yönetici ayrıcalıklarını simgeleyen bir taca doğru uzanan dijital bir merdiven. Bu, saldırganın sistem içinde daha üst düzey erişim elde etme çabalarını temsil eder.

Saldırganlar aşağıdaki gibi araçlar kullanarak ayrıcalıkları artırır ntdsutil.exe etki alanı kimlik bilgilerini almak için. Etki alanı çapında parola değişiklikleri için NTDS veritabanını hedef aldıkları gözlemlenmiştir.

Dijital bir arka plana karışan, etrafında sıfırlar ve birler akan bir bukalemun. Bu, saldırganın normal ağ trafiğine karışmak için taktik değiştirerek güvenlik önlemleri tarafından tespit edilmekten kaçınma yeteneğini temsil eder.

Rhysida, olay günlüklerini temizlemek ve son erişilen dosya ve klasörler, RDP günlükleri ve PowerShell geçmişi gibi adli eserleri silmek için sıklıkla PowerShell ve PsExec kullanır.

Giriş formu şeklindeki dev bir anahtar deliği üzerinde çalışan maymuncuk aletine sahip bir hırsız, saldırganın yetkisiz erişim elde etmek için kullanıcı kimlik bilgilerini çalma çabalarını temsil ediyor.

Grup, aşağıdaki gibi kimlik bilgisi boşaltma araçları kullanıyor secretsdump tehlikeye atılmış sistemlerden kimlik bilgilerini almak için. Bu kimlik bilgileri, saldırganların ayrıcalıklarını artırmalarına ve ağ içindeki kontrollerini ilerletmelerine olanak tanır.

Bir ağın dijital haritası üzerinde hareket eden ve dosyaları, klasörleri ve ağ bağlantılarını vurgulayan bir büyüteç. Bu görüntü, saldırganların yapıyı ve değerli verilerin nerede bulunduğunu anlamak için ortamı keşfettikleri aşamayı temsil eder.

Rhysida operatörleri aşağıdaki gibi yerel araçlar kullanır ipconfig, kimamive net kurban ortamında keşif yapmak için komuta eder.

Gölgeli bir figürün aralarında gizlice hareket ettiği bir dizi birbirine bağlı düğüm. Bu, ek sistemlerin kontrolünü ele geçirmek veya malware adresini yaymak isteyen saldırganın ağ içindeki hareketlerini göstermektedir.

PuTTY aracılığıyla RDP ve SSH gibi uzak hizmetler yanal hareket için kullanılır. PsExec, son fidye yazılımı yükü dağıtımı için sıklıkla kullanılır.

Dosyaları, veri simgelerini ve klasörleri gölgeli bir figür tarafından tutulan bir torbaya emen büyük bir vakum. Bu görüntü, hedef ağdan değerli verilerin toplanması sürecini sembolize eder.

Fidye yazılımı yükünü çalıştırmadan önce, saldırganlar kritik verileri toplayarak çifte gasp stratejilerinin bir parçası olarak şifreleme veya dışarı sızma için hazırlar.

Dijital bir arka planın önünde açılan ve kötü amaçlı kod yazılan bir komut istemi penceresi. Bu, saldırganların ele geçirilen sistem içinde kötü amaçlı yüklerini çalıştırdıkları aşamayı temsil eder.

Rhysida'nın yükü PsExec kullanılarak dağıtılır ve veriler 4096-bit RSA ve ChaCha20 şifreleme algoritmaları kullanılarak şifrelenir. Rhysida'nın .rhysida uzantısı tüm şifrelenmiş dosyalara eklenir.

Bir bilgisayardan gizli bir kanal aracılığıyla kurukafa ile etiketlenmiş bir buluta aktarılan bir dizi dosya, verilerin saldırgan tarafından kontrol edilen bir konuma izinsiz olarak aktarılmasını sembolize eder.

Grup, fidyelerin ödenmemesi halinde kamuoyunu ifşa etmekle tehdit etmek için hassas verileri sızdırarak çifte şantaj kullanıyor.

Arkasında kaos içinde dijital bir şehir manzarası olan kırık bir ekran, siber saldırının hizmet kesintisi, veri imhası veya mali kayıp gibi yıkıcı etkisini sembolize eder.

Rhysida'nın operasyonları tipik olarak ciddi kesintiler, veri şifreleme ve genellikle milyonları bulan Bitcoin ödemeleri talepleriyle sonuçlanıyor.

Bilgisayarlar, akıllı telefonlar ve tabletler gibi çeşitli cihazlarla dolu dijital bir manzara üzerinde geniş bir ağ atan gölgeli bir figür. Ağ, saldırganın güvenlik açıklarını bulma veya yetkisiz erişim elde etmek için phishing tekniklerini kullanma girişimlerini sembolize eder.
İlk Erişim

Rhysida aktörleri, çok faktörlü kimlik doğrulama (MFA) olmadan VPN'ler gibi dışa dönük hizmetleri kullanarak tehlikeye atılmış kimlik bilgileri veya phishing aracılığıyla erişim elde eder. Zerologon güvenlik açığı (CVE-2020-1472) gibi istismarlar da kullanılmıştır.

Temel bir kullanıcı simgesinden yukarıya, yönetici ayrıcalıklarını simgeleyen bir taca doğru uzanan dijital bir merdiven. Bu, saldırganın sistem içinde daha üst düzey erişim elde etme çabalarını temsil eder.
Ayrıcalık Yükseltme

Saldırganlar aşağıdaki gibi araçlar kullanarak ayrıcalıkları artırır ntdsutil.exe etki alanı kimlik bilgilerini almak için. Etki alanı çapında parola değişiklikleri için NTDS veritabanını hedef aldıkları gözlemlenmiştir.

Dijital bir arka plana karışan, etrafında sıfırlar ve birler akan bir bukalemun. Bu, saldırganın normal ağ trafiğine karışmak için taktik değiştirerek güvenlik önlemleri tarafından tespit edilmekten kaçınma yeteneğini temsil eder.
Savunma Kaçırma

Rhysida, olay günlüklerini temizlemek ve son erişilen dosya ve klasörler, RDP günlükleri ve PowerShell geçmişi gibi adli eserleri silmek için sıklıkla PowerShell ve PsExec kullanır.

Giriş formu şeklindeki dev bir anahtar deliği üzerinde çalışan maymuncuk aletine sahip bir hırsız, saldırganın yetkisiz erişim elde etmek için kullanıcı kimlik bilgilerini çalma çabalarını temsil ediyor.
Kimlik Bilgileri Erişimi

Grup, aşağıdaki gibi kimlik bilgisi boşaltma araçları kullanıyor secretsdump tehlikeye atılmış sistemlerden kimlik bilgilerini almak için. Bu kimlik bilgileri, saldırganların ayrıcalıklarını artırmalarına ve ağ içindeki kontrollerini ilerletmelerine olanak tanır.

Bir ağın dijital haritası üzerinde hareket eden ve dosyaları, klasörleri ve ağ bağlantılarını vurgulayan bir büyüteç. Bu görüntü, saldırganların yapıyı ve değerli verilerin nerede bulunduğunu anlamak için ortamı keşfettikleri aşamayı temsil eder.
Keşif

Rhysida operatörleri aşağıdaki gibi yerel araçlar kullanır ipconfig, kimamive net kurban ortamında keşif yapmak için komuta eder.

Gölgeli bir figürün aralarında gizlice hareket ettiği bir dizi birbirine bağlı düğüm. Bu, ek sistemlerin kontrolünü ele geçirmek veya malware adresini yaymak isteyen saldırganın ağ içindeki hareketlerini göstermektedir.
Yanal Hareket

PuTTY aracılığıyla RDP ve SSH gibi uzak hizmetler yanal hareket için kullanılır. PsExec, son fidye yazılımı yükü dağıtımı için sıklıkla kullanılır.

Dosyaları, veri simgelerini ve klasörleri gölgeli bir figür tarafından tutulan bir torbaya emen büyük bir vakum. Bu görüntü, hedef ağdan değerli verilerin toplanması sürecini sembolize eder.
Koleksiyon

Fidye yazılımı yükünü çalıştırmadan önce, saldırganlar kritik verileri toplayarak çifte gasp stratejilerinin bir parçası olarak şifreleme veya dışarı sızma için hazırlar.

Dijital bir arka planın önünde açılan ve kötü amaçlı kod yazılan bir komut istemi penceresi. Bu, saldırganların ele geçirilen sistem içinde kötü amaçlı yüklerini çalıştırdıkları aşamayı temsil eder.
Yürütme

Rhysida'nın yükü PsExec kullanılarak dağıtılır ve veriler 4096-bit RSA ve ChaCha20 şifreleme algoritmaları kullanılarak şifrelenir. Rhysida'nın .rhysida uzantısı tüm şifrelenmiş dosyalara eklenir.

Bir bilgisayardan gizli bir kanal aracılığıyla kurukafa ile etiketlenmiş bir buluta aktarılan bir dizi dosya, verilerin saldırgan tarafından kontrol edilen bir konuma izinsiz olarak aktarılmasını sembolize eder.
Sızma

Grup, fidyelerin ödenmemesi halinde kamuoyunu ifşa etmekle tehdit etmek için hassas verileri sızdırarak çifte şantaj kullanıyor.

Arkasında kaos içinde dijital bir şehir manzarası olan kırık bir ekran, siber saldırının hizmet kesintisi, veri imhası veya mali kayıp gibi yıkıcı etkisini sembolize eder.
Etki

Rhysida'nın operasyonları tipik olarak ciddi kesintiler, veri şifreleme ve genellikle milyonları bulan Bitcoin ödemeleri talepleriyle sonuçlanıyor.

MITRE ATT&CK Haritalama

Rhysida tarafından kullanılan TTP'ler

TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
No items found.
TA0005: Defense Evasion
T1070
Indicator Removal
TA0006: Credential Access
T1528
Steal Application Access Token
T1003
OS Credential Dumping
TA0007: Discovery
No items found.
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
No items found.
TA0011: Command and Control
No items found.
TA0010: Exfiltration
No items found.
TA0040: Impact
T1657
Financial Theft
Platform Tespitleri

Rhysida ile Nasıl Tespit Edilir Vectra AI

Vectra AI Platformunda bulunan ve bir fidye yazılımı saldırısına işaret edebilecek Tespitlerin listesi.

M365 Suspicious Power Automate Flow Creation

Ransomware File Activity

SQL Injection Activity

Suspicious Admin

Suspicious Remote Desktop Protocol

Suspicious Remote Execution

Daha fazla algılama görüntüleyin
Saldırıya maruz kalma durumunuzu değerlendirin

Sıkça Sorulan Sorular

Rhysida fidye yazılımı nedir?

Rhysida, sağlık ve eğitim gibi sektörleri hedef alan, verileri şifrelemek ve dışarı çıkarmak için çifte gasp kullanan bir Hizmet Olarak Fidye Yazılımı grubudur.

Rhysida ilk ne zaman ortaya çıktı?

Grup ilk olarak Mayıs 2023'te gözlemlenmiştir.

Rhysida hangi sektörleri hedefliyor?

Öncelikli olarak eğitim, sağlık, imalat, devlet ve BT sektörlerine odaklanmaktadır.

Rhysida hangi ülkeleri etkiliyor?

Grup en çok ABD, Birleşik Krallık, İtalya ve İspanya'da aktif olmuştur.

Rhysida ağlara nasıl erişim sağlıyor?

Rhysida aktörleri, genellikle zayıf veya çalınmış kimlik bilgilerinden yararlanarak phishing adresinden veya dışa dönük hizmetlerdeki güvenlik açıklarından yararlanarak erişim elde eder.

Rhysida hangi şifreleme yöntemlerini kullanıyor?

Grup, kurbanların verilerini kilitlemek için 4096-bit RSA ve ChaCha20 şifreleme algoritmalarını kullanıyor.

Rhysida ve Vice Society arasında bir bağlantı var mı?

Rhysida ve Vice Society'nin TTP'leri arasında kayda değer benzerlikler vardır ve bu da olası bir operasyonel örtüşmeye işaret etmektedir.

Kurumlar Rhysida'ya karşı nasıl korunabilir?

Kuruluşlar MFA uygulamalı, bilinen güvenlik açıklarını yamalamalı ve sağlam yedekleme ve kurtarma sistemleri sağlamalıdır.

Rhysida tespit edilmekten nasıl kaçınıyor?

Grup, olay günlüklerini temizleme, eserleri silme ve PowerShell aracılığıyla etkinliği gizleme gibi teknikler kullanıyor.

Bir Rhysida saldırısından sonra hangi adımlar atılmalıdır?

Kuruluşlar etkilenen sistemleri izole etmeli, adli kanıtları korumalı, olayı kolluk kuvvetlerine bildirmeli ve mümkünse fidye ödemekten kaçınmalıdır. NDR ve ağ segmentasyonu gibi sağlam güvenlik önlemlerinin uygulanması da tavsiye edilir.

Kurumunuz Rhysida Fidye Yazılımı Saldırılarına Karşı Güvende mi?

Saldırıya maruz kalma durumunuzu değerlendirin