Rhysida ausmanövrieren: Wie fortschrittliche Bedrohungsinformationen kritische Infrastrukturen vor Ransomware schützen

Zusammenfassung

Die Rhysida-Ransomware, die erstmals Anfang 2023 aktiv war, nutzt eine mehrstufige Infrastruktur und CleanUpLoader für Aktivitäten nach dem Exploit. Mithilfe der Network Intelligence von Recorded Future konnte die Insikt Group Rhysida-Opfer durchschnittlich 30 Tage vor ihrem Auftauchen auf öffentlichen Erpressungsseiten identifizieren. So entstand ein entscheidendes Zeitfenster, um den Einsatz von Ransomware zu verhindern und den Schaden zu begrenzen. Die Infrastruktur umfasst typosquatted Domains, SEO Poisoning und C2-Infrastruktur für Aktivitäten nach der Infiltration. CleanUpLoader, häufig als Software-Installationsprogramm getarnt, unterstützt Rhysida bei der Datenexfiltration und -persistenz. Rhysida zielt insbesondere auf Sektoren wie das Gesundheits- und Bildungswesen ab und konzentriert sich sowohl auf Windows- als auch auf Linux-basierte Systeme.

Rhysida Ransomware dringt mithilfe von CleanUpLoader in Systeme ein

Ausgeklügelte Ransomware-Gruppen wie Rhysida haben erhebliche Auswirkungen auf Unternehmen weltweit. Diese Gruppe ist seit Januar 2023 aktiv und hat ihre Taktik kontinuierlich weiterentwickelt. Rhysida nutzt CleanUpLoader für die Post-Exploitation und wurde dabei beobachtet, wie es sich in Systeme einschleuste, mit dem Ziel, erheblichen Schaden anzurichten.

In dieser detaillierten Analyse werden wir untersuchen, wie Rhysida seine mehrstufige Infrastruktur und CleanUploader nutzt, um Ransomware-Angriffe auszuführen, und wie sich die Network Intelligence von Recorded Future bei der Früherkennung als entscheidend erwiesen hat.

Rhysidas Angriffsstrategie

Wie viele moderne Ransomware-Gruppen nutzt Rhysida eine mehrstufige Infrastruktur, um seine Angriffe auszuführen. Die jüngste Analyse der Insikt Group, unterstützt durch Network Intelligence von Recorded Future, zeigt, wie Rhysida seine Infrastruktur nutzt, um die frühen Phasen des Angriffs auszuführen.

Durch die Erstellung von typosquatted Domains, die beliebten Software-Download-Seiten ähneln, verleitet Rhysida die Nutzenden zum Herunterladen infizierter Dateien. Diese Technik ist besonders effektiv, wenn sie mit SEO-Poisoning kombiniert wird, bei dem diese Domains in den Suchmaschinenergebnissen höher eingestuft werden, so dass sie als legitime Download-Quellen erscheinen. Sobald Nutzende auf eine dieser bösartigen Domains klicken, werden sie zu einem Payload-Server umgeleitet, auf dem CleanUpLoader gehostet wird, der dann vom Angreifer in der Post-Exploitation-Phase verwendet wird.

CleanUpLoader

CleanUpLoader ist eine vielseitige Backdoor-Malware, die von Rhysida in seinen Angriffskampagnen verwendet wird. Diese Malware wurde vor allem als gefälschte Installationsprogramme für beliebte Software wie Microsoft Teams und Google Chrome verbreitet, was die Wahrscheinlichkeit erhöht, dass Zielpersonen sie unwissentlich installieren. CleanUpLoader erleichtert nicht nur die Beständigkeit des Angriffs, sondern ermöglicht es den Rhysida-Akteuren auch, wertvolle Daten zu exfiltrieren, bevor die Ransomware eingesetzt wird.

Da mehrere C2-Domänen in die Konfiguration integriert sind, sorgt CleanUploader für Redundanz, sodass der Betrieb auch dann aufrechterhalten werden kann, wenn ein C2-Server offline ist. Die Hintertür kommuniziert mit ihren Command-and-Control-Servern (C2) über HTTPS.

Rhysidas Opferprofil

Rhysidas Ransomware-Operationen sind global und betreffen eine Vielzahl von Sektoren, wobei die Regierung und der öffentliche Sektor die Hauptziele sind. Diese Sektoren waren aufgrund ihrer hochsensiblen Daten und der oft unzureichenden Sicherheitsmaßnahmen besonders gefährdet.

Zu den Attacken höchster Ebene zählt der Angriff auf das King Edward VII’s Hospital in London im Jahr 2023, bei dem Rhysida nach eigenen Angaben vertrauliche Informationen von Krankenhausmitarbeitenden sowie Patienten und Patientinnen, darunter auch Mitgliedern der britischen Königsfamilie, gestohlen hatte. Darüber hinaus zeigen Angriffe auf die chilenische Armee und die Stadt Columbus die Fähigkeit von Rhysida, kritische Infrastrukturen des öffentlichen Sektors zu infiltrieren.

Die Gruppe zeichnet sich unter anderem dadurch aus, dass sie bereit ist, Bereiche anzugreifen, die bisher für Ransomware-Gruppen tabu waren, darunter Schulen und Krankenhäuser. Dies stellt einen bedeutenden Wandel in der Ransomware-Methode dar und signalisiert eine rücksichtslosere Vorgehensweise moderner Bedrohungsakteure.

Die Früherkennung von Recorded Future

Die Früherkennungsfunktionen der Network Intelligence von Recorded Future haben sich bei der Bekämpfung von Ransomware als wegweisend erwiesen. Insikt Group stellte fest, dass Rhysida-Opfer im Durchschnitt 30 Tage vor ihrem Auftritt auf öffentlichen Erpressungsseiten entdeckt werden konnten. Die Überwachung der Infrastruktur von Rhysida, einschließlich Typosquatting-Domains und CleanUploader C2-Servern, ermöglichte diese Erkennung.

Die durchschnittliche Verweildauer zwischen der ersten Infektion und dem Einsatz von Ransomware bietet Verteidigern ein kritisches Zeitfenster, um zu reagieren. Durch die frühzeitige Erkennung von Netzwerkkommunikation und anderen Anzeichen für eine Kompromittierung (IoCs) können Sicherheitsteams schnell handeln, um Bedrohungen zu neutralisieren, bevor die Angreifer Daten verschlüsseln oder Lösegeldforderungen stellen können.

Proaktive Verteidigung: Wichtige Erkenntnisse

Angesichts der Raffinesse der Rhysida-Operationen erfordert die Verteidigung gegen solche Ransomware einen proaktiven und erkenntnisgestützten Ansatz. Die Network Intelligence von Recorded Future bietet Einblick in die Infrastruktur von Ransomware-Gruppen und gewährt Verteidigern wichtige Einblicke in deren Tools, Taktiken und Verfahren.

Hier sind die wichtigsten Verteidigungsstrategien gegen Rhysida:

Erweiterte Bedrohungserkennung: Nutzen Sie Frühindikatoren für Kompromittierungen und Erkennungsregeln für benutzerdefinierte Dateiscans und Protokollerkennung, um Bedrohungen zu identifizieren und darauf zu reagieren.

Network Intelligence: Nutzen Sie die Network Intelligence von Recorded Future zur frühzeitigen Erkennung von Exfiltrationen und zur Verhinderung der Eskalation von Ransomware, indem Sie die proaktive Infrastrukturerkennung der Insikt Group und eine umfassende Analyse des Netzwerkverkehrs verwenden.

Schulung von Nutzenden: Klären Sie Ihre Mitarbeitenden über bösartige Downloads auf, da dies nach wie vor die Hauptinfektionsmethode ist. Patch-Management: Stellen Sie sicher, dass alle Systeme mit den neuesten Sicherheitspatches aktualisiert werden, um Ausnutzungen bekannter Schwachstellen zu verhindern.

Backups: Sichern Sie regelmäßig kritische Daten und stellen Sie sicher, dass diese Backups sicher gespeichert werden, vorzugsweise offline, um die Auswirkungen von Ransomware zu mindern.

Ausblick

Die Rhysida-Ransomware stellt branchenübergreifend eine erhebliche Bedrohung dar. Durch die Nutzung von CleanUpLoader sind ihre Operationen äußerst effektiv und schwer zu erkennen. Mit Früherkennungsmethoden wie der Network Intelligence von Recorded Future können sich Sicherheitsteams jedoch einen entscheidenden Vorteil verschaffen, indem sie die Opfer lange vor dem Einsatz von Ransomware identifizieren.

Da sich die Ransomware-Bedrohungen ständig weiterentwickeln, sind die proaktive Überwachung der gegnerischen Infrastruktur und der Einsatz umfassender Intelligence-Lösungen für den Schutz von Unternehmen vor verheerenden Angriffen unerlässlich. Wenn Sie die Taktik von Rhysida verstehen, können Sicherheitsteams effektivere Verteidigungsstrategien implementieren, um die Auswirkungen dieser und anderer fortschrittlicher Ransomware-Familien abzuschwächen.

Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.