Rhysida，大英图书馆网络攻击背后的新勒索软件团伙

被认为来自俄罗斯或独联体的团伙袭击了多个国家的公司和机构

本周，在一个名为 Rhysida 的犯罪组织声称对大英图书馆袭击事件负责后，勒索软件团伙的网络流氓名单中又添加了一个新名字。

该图书馆证实，上个月网络攻击中被盗的个人数据已在网上出售。

 

虽然攻击背后的名称可能相对较新，但犯罪技术却并非如此。勒索软件团伙通过使用恶意软件（恶意软件）感染组织的计算机，然后要求付款（通常以加密货币形式）来解锁文件，从而使组织的计算机无法访问。

然而，近年来，在一个被称为“双重勒索”的过程中，大多数团伙同时窃取数据并威胁将其发布到网上，他们希望这将增强他们的谈判筹码。

Rhysida 本周成为攻击者，他在网上发布了攻击中收集的个人信息的低分辨率图像，并在其泄密网站上出售被盗数据，起价为 20 比特币（约合 59 万英镑）。

网络安全公司 Secureworks 威胁研究总监拉夫·皮林 (Rafe Pilling) 表示：“这是双重勒索勒索软件攻击的典型例子，他们利用泄露或出售被盗数据的威胁作为勒索付款的杠杆。”

虽然大英图书馆是 Rhysida（以一种蜈蚣命名）的英国知名受害者，但该组织还对葡萄牙、智利和科威特的政府机构发动了袭击。八月，它声称对美国医院集团 Prospect Medical Holdings 的袭击负责。

美国政府机构上周发布了一份关于 Rhysida 的咨询说明，指出自 5 月份以来，“新兴勒索软件变种”已针对教育、制造、IT 和政府部门部署。这些机构表示，他们还发现 Rhysida 团伙正在开展“勒索软件即服务”(Raas) 业务，将恶意软件出租给犯罪分子并分享赎金收益。

Rhysida 的名字对公众来说是个新名字，但根据 Secureworks 的说法，它是从 2021 年成立的犯罪行动中出现的。Secureworks 将该组织称为 Gold Victor，它运营着一个名为 Vice Society 的勒索软件计划。

这种品牌重塑活动在犯罪团伙中很常见——他们通常以他们部署的勒索软件变体命名——如果他们现有的“品牌”变得过于臭名昭著并吸引了执法部门的过多关注。

该品牌通常附加在攻击后留下的加密文件名的末尾，拉夫将这种行为描述为留下“名片”。

Rhysida 团伙的确切身份尚不清楚，但皮林认为该团伙遵循类似特工的模式，这些特工通常来自俄罗斯或独立国家联合体成员，其成员包括俄罗斯、白俄罗斯和哈萨克斯坦。

“我认为他们可能会说俄语，但我们没有任何确凿的证据，”皮林说。

据美国机构称，使用 Rhysida 勒索软件的犯罪团伙利用组织的虚拟专用网络（员工用来远程访问其雇主系统的系统）进入系统，或者部署了熟悉的网络钓鱼攻击技术，使受害者通常通过电子邮件诱骗他们点击下载恶意软件的链接，或诱骗他们交出密码等详细信息。

“这些是常见的访问技术，”斯皮林说。一旦进入内部，该团伙通常会在系统中潜伏一段时间。据 Secureworks 称，网络犯罪团伙的攻击停留时间总体上已降至 24 小时以下，而 2022 年将超过四天。这有助于避免被发现。

根据美国机构的文件，加密货币是 Rhysida 攻击者索取赎金的常见形式，与其他黑客犯罪组织的情况一致。像比特币这样的数字资产很受勒索软件团伙的欢迎，因为它是去中心化的——它在传统银行系统之外运行，因此绕过了标准检查——而且交易可能会被掩盖，从而使其更难以追踪。

Rhysida 攻击者以 PDF 文件形式发送标题为“CriticalBreachDetected”的勒索字条。该注释为每个接收者提供了唯一的代码和说明，以便通过专业的网络浏览器与该组织联系，从而使通信无法追踪。

在英国，支付勒索软件的要求是非常不受欢迎的，但这并不违法，除非你知道——或怀疑——收益会落入恐怖分子的口袋。国家网络安全中心表示：“执法部门不鼓励、认可或纵容支付赎金要求。”

在美国，政府也不鼓励支付赎金，但美国财政部 2020 年的一份咨询说明强调，这“只是解释性的”，“不具有法律效力”。

英国网络安全公司 Sophos 表示，勒索软件支付的金额正在增加。据报道，过去一年勒索软件的平均支付金额几乎翻了一番，达到 120 万英镑。在此背景下，新的勒索软件“品牌”将不断涌现。

 

 

 

原文始发于微信公众号（祺印说信安）：Rhysida，大英图书馆网络攻击背后的新勒索软件团伙