暗网简介：Rhysida

随着【中国能源】、大英图书馆、智利陆军、美国医院等国际重要组织被勒索，Rhysida组织在全球内的勒索名气，已经仅次于lockbit3.

Rhysida 勒索软件历史

Rhysida Ransomware 是一个独立组织，首次于 5 月 23 日被发现。该组织将自己定位为一个网络安全团队，通过强调安全问题和潜在后果来支持受害者。Rhysida 使用的 TTP 与另一个勒索软件组织 Vice Society 有显着相似之处。Vice Society 自 2021 年以来一直活跃，并遵循机会主义攻击方法。该组织利用易受攻击的网络应用程序或使用有效帐户来访问组织。Vice Society 的最后一次攻击发生在 2022 年 7 月至 10 月期间。

在 Rhysida 出现期间，人们注意到 Rhysida 和 Vice Society 团体之间的 TTP 有许多相似之处——使用相同的文件夹名称、SystemBC 的利用、出售恶意软件以及用于持久性的注册表运行密钥的确切名称——所有这些都指向Vice Society 更名为 Rhysida Group。Rhysida 出现后，Vice Society 的活动明显减少，此后他们只在泄密网站上公布了两名受害者。这两个组织还针对类似的行业，即医疗保健和教育，揭示了 Rhysida 和 Vice Society 成员之间的联系。

下图显示了 Rhysida 活动的统计数据。

尽管该组织的受害者名单并不长，但其对高调目标的关注对那些受到影响的人产生了严重影响。8 月，Rhysida 勒索软件组织声称对 Prospect Medical Holdings 的网络攻击负责，该攻击影响了美国各地的 17 家医院和 166 家诊所。据 报道，该组织声称已经窃取了 1.3 TB 的 SQL 数据库和 1 TB 的文档，包括患者记录、公司文档和 500,000 个社会安全号码。Rhysida 勒索软件组织还声称对全球最大的图书馆之一大英图书馆的网络攻击负责。

Rhysida 主要依靠利用有效凭据并通过 VPN 建立网络连接来进行初始访问。尽管他们如何获得这些凭据仍有待确定，但推测它们是通过初始访问代理 (IAB) 获得的。在渗透受害者的网络后，该组织使用 net 命令并利用 Advance IP/端口扫描器等工具来枚举受害者环境并收集有关域的关键信息。Rhysida 利用 PsExec 等 Sysinternals 工具在目标系统上部署勒索软件以进行横向移动。在启动加密过程之前，他们通过多种渠道（包括 MegaSync 和 PowerShell 渗透脚本）利用双重勒索技术窃取敏感数据。

Rhysida 如何发挥作用？

Rhysida 勒索软件有多种部署方式。众所周知，该组织依靠网络钓鱼攻击和Cobalt Strike来破坏网络并部署其有效负载。Cobalt Strike 是一种渗透测试工具，因其先进的利用能力而经常被黑客使用。Rhysida 勒索软件通过网络钓鱼诱饵进入受害者的机器后，Cobalt Strike 用于在系统内进行横向移动。

安全专家的遥测还显示，威胁参与者执行 PsExec 来部署 PowerShell 脚本和 Rhysida 勒索软件负载本身。 Bleeping Computer报告称，Rhysida 操作员使用的 PowerShell 脚本会终止防病毒进程、删除卷影副本、修改远程桌面协议配置以及更改活动目录 (AD) 密码。

虽然勒索软件加密器通常会处理这些任务，但 Rhysida 勒索软件使用外部脚本来实现相同的目的。这一切都表明了储物柜的积极发展。

另一份报告还证实，最新的 Rhysida 储物柜使用 4096 位 RSA 密钥和 ChaCha20 算法进行文件加密，并且现在排除了多个目录。当 Rhysida 勒索软件运行时，安全专家注意到命令行的输出，该输出扫描文件，运行“file_to_crypt”函数，如果成功，则将文件扩展名更改为“ .rhysida ”。

这些攻击方法并不针对任何组织，这意味着任何部门都可能成为潜在目标。

成功加密后，勒索软件会留下一份 PDF 勒索字条，指示受害者通过其门户网站联系该组织并以比特币付款。PDF 注释的使用还表明该组织并不针对网络设备或服务器上使用的命令行操作系统。

Rhysida 勒索软件 TTP

Rhysida 勒索软件运营商利用最近的漏洞或利用初始访问经纪人在暗网市场上购买的有效凭证，机会主义地危害受害者。在其链的加密阶段，他们利用自己的 Rhysida 有效负载或 RaaS 生态系统中可用的其他勒索软件有效负载，例如 QuantumLocker、BlackCat 和 Zepplin 等。在一些案例中，该组织没有加密受害者的文件，而是仅使用泄露的被盗数据进行勒索。

初始访问

Rhysida 操作员使用多种方法执行初始访问。他们伺机瞄准易受攻击的 Web 应用程序或通过初始访问代理获取有效的 RDP 帐户或 VPN 凭证。据观察，他们还成功进行了网络钓鱼攻击

技术	描述
T1078：有效帐户	Rhysida 操作员利用有效的帐户凭据或 VPN 凭据来访问组织
T1190：利用面向公众的应用程序	Rhysida 运营商机会主义地瞄准易受攻击的 Web 应用程序并利用它们来获取对组织的访问权限
T1566：网络钓鱼	Rhysida 运营商利用恶意 Excel 负载进行网络钓鱼攻击

执行

初次访问后，Rhysida 操作员被发现利用 bat 脚本、PS1 文件和计划任务来执行其有效负载。该组织在受感染的系统上部署商品工具和恶意软件，例如 CobaltStrike 信标和 SystemBC。

技术	描述
T1059.001：命令和脚本解释器：Powershell	Rhysida 操作员删除各种 PowerShell 脚本并使用 Powershell 执行命令
T1059.003：命令和脚本解释器：Windows 命令外壳	Rhysida 操作员使用批处理脚本并使用 Windows 命令提示符执行命令

权限提升

Rhysidia 操作员利用进程注入升级权限，成为 NT 权限/系统，或利用 ZeroLogon 等漏洞成为域管理员

技术	描述
T1055.002：进程注入：便携式可执行注入	Rhysida 操作员将 64 位 PE 勒索软件注入正在运行的进程中以提升其权限。
T1068：权限升级利用	Rhysida 操作员利用环境中存在漏洞的计算机（例如 Windows 服务器）将其权限升级为域管理员

防御规避

在感染链中，Rhysida 运营商不断消除任何妥协迹象。他们定期清除 Windows 事件日志、删除文件并创建隐藏工件。

技术	描述
T1070.001：指示器删除：清除 Windows 事件日志	Rhysida 操作员使用 wevtutil.exe 清除系统、应用程序和安全事件日志以避免检测
T1070.004：指示器移除：文件删除	Rhysida 操作员利用 PowerShell 和计划任务删除系统上创建的任何工件，以防止取证审查
T1564.003：隐藏文物：隐藏窗口	Rhysida 运算符在隐藏的 PowerShell 窗口中执行命令

凭证转储

一旦拥有正确的权限，Rhysida 操作员就会尝试寻找在整个组织中传播的凭证。它们转储 lsass 内存、NTDS 数据库并在注册表中搜索凭据。

技术	描述
T1003.003：操作系统凭据转储：NTDS	Rhysida 操作员使用 Secretdump 等工具转储凭据以提取凭据并转储 NTDS 数据库
T1003.001：操作系统凭证转储：LSASS 内存	Rhysida 操作员使用多种方法转储 lsass.exe，例如使用 procdump，甚至转储整个 RAM 以提取 NTLM 哈希值
T1003.004：操作系统凭证转储：LSA 秘密	Rhysida 操作员尝试通过从注册表中转储 SAM 和安全密钥来提取 LSA 秘密

发现

在感染过程中，Rhysidia 操作员发现了可能有助于实现进一步目标的细节，例如横向移动。他们发现远程系统、当前用户权限以及可用来进一步实现其目标的任何信任。

技术	描述
T1016：系统网络配置发现	Rhysida 操作员使用 ipconfig 命令枚举系统网络配置
T1018：远程系统发现	Rhysida 操作员使用网络组域计算机 /domain 枚举受害域上的服务器
T1033：系统所有者/用户发现	Rhysida 操作员利用 whoami 和各种 net 命令来识别登录用户及其相关权限和组
T1069.001：权限组发现：本地组	Rhysida 操作员使用命令 net localgroupadministrators 来识别具有本地管理员权限的帐户
T1069.002：权限组发现：域组	Rhysida 操作员使用命令 net group “domain admins”/domain 来识别域管理员
T1087.002：帐户发现：域帐户	Rhysida 操作员使用命令 net user [用户名] /domain 来识别帐户信息
T1482：域信任发现	Rhysida 操作员使用 Windows 实用程序 nltest 来枚举域信任。

横向运动

Rhysida Operators 通过利用 RDP 和 SSH 连接在整个组织中传播。他们还利用 PsExec 等工具来执行命令并在其他系统中立足。

技术	描述
T1021.001：远程服务：远程桌面协议	Rhysida 运营商利用 RDP 受损的用户凭据进行横向移动。
T1021.004：远程服务：远程桌面协议	Rhysida 操作员使用 PuTTY 通过 SSH 来利用受损的用户凭据进行横向移动。

命令与控制

Rhysida 运营商让 Anydesk 服务在受感染的系统上运行，以获得远程访问并保持持久性

技术	描述
T1219：远程访问软件	据观察，Rhysida 操作员使用 AnyDesk 软件来远程访问受害系统并保持持久性。

渗漏

Rhysida 运营商使用 DataGrabber1 等工具窃取受害者数据并将其上传到他们的云系统。如果受害者不支付赎金，数据就会被泄露或卖给最高出价者。

技术	描述
T1567.002：渗漏到云存储	Rhysida 运营商使用 DataGrabber1 等工具窃取受害者用户数据并将其上传到他们的云虚拟机

影响

Rhysida 运营商出于经济动机，利用双重勒索攻击迫使受害者付款。除了加密受害者数据外，他们还窃取数据，并威胁如果不支付赎金就公布敏感信息

技术	描述
T1486：数据加密以提高影响力	Rhysida 运营商使用实现 ChaCha20 算法的 4096 位 RSA 加密密钥对受害者数据进行加密。
T1657：金融盗窃	Rhysida 运营商进行“双重勒索”，要求支付赎金以解密受害者数据，并威胁称，除非支付赎金，否则将公布敏感的泄露数据
T1490：禁止系统恢复	Rhysida Operators 使用 wmic 和 vssadmin 删除卷影副本，终止与备份软件相关的服务，并将默认 RDP 端口更改为 4000。

Rhysida 勒索软件搜寻和检测

可以通过以下规则在您的环境中追捕 Rhysida 勒索软件。

以下 YARA 规则可用于搜寻 Rhysidia 勒索软件二进制文件。

1rule rw_rhysida {
2
3meta:
4author = "Alex Delamotte"
5description = "Rhysida ransomware detection."
6sample = "69b3d913a3967153d1e91ba1a31ebed839b297ed"
7reference = "https://s1.ai/rhys"
8strings:
9$typo1 = { 63 6D 64 2E 65 78 65 20 2F 63 20 72 65 67 20 64 65 6C 65 74 65 20 22 48 4B 43 55 5C 43 6F 6E 74 74 6F 6C 20 50 61 6E 65 6C 5C 44 65 73 6B 74 6F 70 22 }
10$cmd1 = { 63 6D 64 2E 65 78 65 20 2F 63 20 72 65 67 20 61 64 64 20 22 48 4B 43 55 5C 53 6F 66 74 77 61 72 65 5C 4D 69 63 72 6F 73 6F 66 74 5C 57 69 6E 64 6F 77 73 5C 43 75 72 72 65 6E 74 56 65 72 73 69 6F 6E 5C 50 6F 6C 69 63 69 65 73 5C 41 63 74 69 76 65 44 65 73 6B 74 6F 70 }
11$cmd2 = { 63 6D 64 2E 65 78 65 20 2F 63 20 72 65 67 20 61 64 64 20 22 48 4B 4C 4D 5C 53 6F 66 74 77 61 72 65 5C 4D 69 63 72 6F 73 6F 66 74 5C 57 69 6E 64 6F 77 73 5C 43 75 72 72 65 6E 74 56 65 72 73 69 6F 6E 5C 50 6F 6C 69 63 69 65 73 5C 53 79 73 74 65 6D 22 20 2F 76 20 57 61 6C 6C 70 61 70 65 72 20 2F 74 20 52 45 47 5F 53 5A 20 2F 64 20 22 43 3A 5C 55 73 65 72 73 5C 50 75 62 6C 69 63 5C 62 67 2E 6A 70 67 22 20 2F 66 }
12$byte1 = { 48 8D 05 72 AA 05 00 48 8B 00 8B 95 }
13$byte2 = { 48 8D 15 89 CF 03 00 48 89 C1 E8 F9 1C 03 00 44 }
14condition:
152 of them
16}

下面的 Fortinet 搜索规则可以搜索 Rhysida 操作员使用的持久性方法。
1Type: ("Value Created") AND Registry.Name:"socks" AND Registry.Path: ("HKCU\Software\Microsoft\Windows\CurrentVersion\Run") AND Registry.Data: ("Powershell.exe -windowstyle hidden -ExecutionPolicy Bypass -File ")

以下检测规则可用于检测 Rhsyida Operators 的 LSASS 内存转储。



规则
关联




过程转储执行
关联


重命名为 ProcDump 执行
关联


通过 Procdump 潜在的 LSASS 进程转储
关联



防御 Rhysida 勒索软件
Rhysida 操作者在入侵期间使用的大多数 TTP 都是这些勒索软件入侵的典型，并且没有观察到新颖的技术。这凸显了不仅了解勒索软件有效负载的操作，而且了解其部署的整个过程的重要性。有一些经验不足的演员的标志，例如在整个活动中看到的未混淆的注册表修改和 PowerShell 命令。
攻击者利用各种工具来促进此类攻击，从使用 AnyDesk 等远程管理工具到通过 PsExec 部署勒索软件。密切监控这些活动有助于防止下一次勒索软件攻击。

原文始发于微信公众号（OSINT研习社）：暗网简介：Rhysida