家族简介
01
Rhysida是一个新的勒索软件即服务(RaaS)勒索家族,自2023年5月以来出现。该组织通过网络钓鱼攻击和Cobalt Strike投放了一款同名勒索软件,以破坏目标的网络并部署其有效载荷。该组织威胁说,如果不支付赎金,他们将公开发布经过过滤的数据。Rhysida仍处于开发的早期阶段,缺乏先进的功能,程序名称Rhysida-0.1表明了这一点。勒索软件还在受影响的文件夹上留下PDF笔记,指示受害者通过其门户网站联系该组织并用比特币支付。受害者分布在西欧、北美和南美以及澳大利亚的几个国家,近期也发现针对我国金融行业的定向攻击。他们主要攻击教育、政府、制造业、技术和管理服务提供商部门。
Rhysida于2023年5月17日首次发现,Rhysada是一个64位Windows加密勒索软件应用程序,使用MINGW/GCC编译。在分析的每个样本中,应用程序的程序名称都设置为Rhysida-0.1,这表明该工具处于开发的早期阶段。Rhysida家族利用面向外部的远程服务,如虚拟专用网络(VPN)、Zerologon漏洞(CVE-2020-1472)和网络钓鱼活动,在网络中获得初始访问权限和持久性。该工具的一个显著特点是它的纯文本字符串显示注册表修改命令。Rhysida勒索软件有多种部署方式。主要方法包括通过网络钓鱼攻击破坏目标的网络,以及在首次部署Cobalt Strike或类似的指挥和控制框架后,在受损系统中丢弃有效载荷。
威胁拦截
02
关于山石网科情报中心
03
原文始发于微信公众号(山石网科安全技术研究院):高危预警:警惕近期活跃的 Rhysida 勒索家族
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论