10.08.2023 | 2 birds 1 stone: хакеры Vice Society и Rhysida создали совместный проект |
Исследователи угроз из Check Point Research обнаружили тактическое сходство между группировками вымогателей Rhysida и Vice Society , и их целями в секторах образования и здравоохранения. Специалисты заметили, что со средней степенью достоверности операторы Vice Society в настоящее время используют программу-вымогатель Rhysida в своих кампаниях. Группа Vice Society (Storm-0832), активная с мая 2021 года, в своих вымогательских атаках использует уже готовые двоичные файлы программ-вымогателей, которые продаются на хакерских форумах. Первоначальный доступ к сети осуществляется через скомпрометированные учетные данные или эксплуатацию уязвимостей повышения привилегий. В свою очередь, группа вымогателей Rhysida, впервые обнаруженная в мае 2023 года, использует фишинг и Cobalt Strike для взлома целевых сетей и развертывания полезных нагрузок. Большинство жертв группы базируются в США, Великобритании, Италии, Испании и Австрии. Хакеры Rhysida осуществляют боковое перемещение (Lateral Movement) с помощью протокола удаленного рабочего стола (Remote Desktop Protocol, RDP ) и удаленных сеансов PowerShell , а полезная нагрузка программы-вымогателя развертывается с помощью инструмента Windows PsExec. Командование и контроль операций (Command and Control, C2 ) достигается с помощью бэкдора SystemBC и инструментов удаленного управления, таких как AnyDesk . Примечательно, что цепочки атак групп постоянно очищают журналы и криминалистические артефакты, чтобы скрыть следы взлома, и изменяют пароль для всего домена, чтобы помешать усилиям по исправлению.
Активность групп Vice Society и Rhysida По данным Check Point, между появлением Rhysida и исчезновением Vice Society прослеживается чёткая связь. Эксперты выделили использование легитимного инструмента командной строки NTDSUTil , создание правил локального брандмауэра для обеспечения связи с C2-сервером через SystemBC и использование инструмента PortStarter , который использовался исключительно Vice Society. С тех пор, как Rhysida впервые появилась в мае 2023, Vice Society на своём сайте утечек опубликовала только 2 жертвы. Вполне вероятно, что жертвы были известны ранее, но были опубликованы только в июне. Хакеры Vice Society перестали публиковать сообщения на сайте утечек с 21 июня 2023 года. Другим важным показателем является соответствие в виктимологии киберпреступников. И Rhysida, и Vice Society нацелены на отрасль образования, на их долю приходится 32% и 35% всех атак соответственно. Исследователи отметили, что TTPs участников групп остаются практически неизменными — от использования инструментов удаленного управления, таких как AnyDesk, до развертывания программ-вымогателей через PsExec. Ранее мы писали, что, согласно отчету Palo Alto Networks Unit 42, группировка Vice Society в 2022 году атаковала 33 образовательных учреждения , это больше, чем другие программы-вымогатели. Palo Alto Networks назвала Vice Society «одной из самых влиятельных групп вымогателей 2022 года». В общей сложности жертвами группы стали компании из сектора здравоохранения, правительства, производства, розничной торговли и юридических услуг. |
Проверить безопасность сайта