Группировка Rhysida: взлом армии Чили и расширение масштабов атак
17/11/23
Федеральное бюро расследований (ФБР) и Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) в совместном заявлении от 15 ноября предупредили о росте атак, осуществляемых группировкой Rhysida, специализирующейся на вымогательском программном обеспечении.
Хакерская группа, появившаяся в мае 2023 года, стала известна после взлома Армии Чили и публикации украденных данных в сети, поясняют в Securitylab. Отмечается, что Rhysida активно атакует организации в различных отраслях, включая образование, здравоохранение, производство, информационные технологии и государственный сектор.
Специалисты подчёркивают, что группировка использует RaaS-модель вредоносной деятельности, а полученные денежные выкупы делятся между членами группы и многочисленными аффилиатами.
Особое внимание агентства уделили методам атаки Rhysida, включая взлом удалённых служб доступа (например, VPN) с использованием украденных учётных данных. Ещё одним распространённым вектором атаки стала эксплуатация известных уязвимостей, таких как, например, Zerologon ( CVE-2020-1472 ). Это становится возможным в случаях, когда организации не применяют многофакторную аутентификацию (MFA) по умолчанию.
В дополнение, отмечается, что участники группировки Vice Society, известные как Vanilla Tempest или DEV-0832, также перешли к использованию вымогательского софта Rhysida в своих атаках.
Исследования компаний Sophos , Check Point и PRODAFT показывают, что переход Vice Society на использование Rhysida произошёл примерно в июле этого года, вскоре после того, как группировка начала публиковать данные жертв на своём сайте утечек данных.
ФБР и CISA рекомендуют специалистам по сетевой безопасности применять все возможные меры по снижению вероятности и последствий инцидентов с вымогательским ПО.
К минимальным мерам в агентствах отметили регулярное обновление ПО для устранения активно эксплуатируемых уязвимостей, включение MFA для всех служб, особенно для веб-почты, VPN и критически важных системных аккаунтов, а также использование сегментации сети для предотвращения попыток бокового перемещения.