Déjouer Rhysida : comment les renseignements avancés sur les menaces protègent les infrastructures critiques contre les ransomwares

Summary

Le ransomware Rhysida, actif pour la première fois début 2023, utilise une infrastructure à plusieurs niveaux et CleanUpLoader pour les activités post-exploitation. Grâce à Recorded Future Network Intelligence, le groupe Insikt a identifié les victimes de Rhysida en moyenne 30 jours avant qu’elles n’apparaissent sur les sites d’extorsion publics, offrant ainsi une fenêtre critique pour empêcher le déploiement du ransomware et atténuer les dommages. L’infrastructure comprend les domaines typosquattés, l’empoisonnement SEO et une infrastructure C2 pour les activités post-exfiltration. CleanUploader, souvent déguisé en programme d’installation de logiciels, aide Rhysida dans l’exfiltration et la persistance des données. Rhysida cible notamment des secteurs tels que la santé et l’éducation, et se concentre sur les systèmes Windows et Linux.

Le ransomware Rhysida s’introduit dans les systèmes à l’aide de CleanUpLoader

Les groupes de ransomware sophistiqués tels que Rhysida ont un pouvoir de nuisance considérable sur les organisations du monde entier. Ce groupe est actif depuis janvier 2023 et n’a cessé de peaufiner ses tactiques. S’appuyant sur CleanUpLoader pour la post-exploitation, Rhysida a été observée en train de se propager dans les systèmes, avec pour objectif de causer des dommages importants.

Dans cette analyse détaillée, nous verrons comment Rhysida utilise son infrastructure à plusieurs niveaux et CleanUpLoader pour exécuter des attaques de ransomware et comment la solution Recorded Future Network Intelligence s’est avérée cruciale dans la détection précoce.

Stratégie d’attaque de Rhysida

Comme de nombreux groupes de ransomware modernes, Rhysida utilise une infrastructure à plusieurs niveaux pour mener à bien ses attaques. La dernière analyse du groupe Insikt, étayée par Recorded Future Network Intelligence, révèle comment Rhysida utilise son infrastructure pour exécuter les premières phases de l’attaque.

En créant des domaines typosquattés ressemblant à des sites de téléchargement de logiciels populaires, Rhysida incite les utilisateurs à télécharger des fichiers infectés. Cette technique est particulièrement efficace lorsqu’elle est associée à un empoisonnement SEO, dans lequel ces domaines sont mieux classés dans les résultats des moteurs de recherche, les faisant apparaître comme des sources de téléchargement légitimes. Lorsqu’un utilisateur clique sur l’un de ces domaines malveillants, il est redirigé vers un serveur de charge utile hébergeant CleanUpLoader, qui est ensuite utilisé par le pirate au cours de la phase de post-exploitation.

CleanUploader

CleanUpLoader est un programme malveillant de porte dérobée polyvalent utilisé par Rhysida dans ses campagnes d’attaque. Ce malware a été principalement diffusé sous la forme de faux installateurs de logiciels populaires, tels que Microsoft Teams et Google Chrome, ce qui augmente la probabilité que les cibles l’installent à leur insu. CleanUpLoader facilite non seulement la persistance, mais permet également aux opérateurs de Rhysida d’exfiltrer des données de valeur avant le déploiement du ransomware.

Avec plusieurs domaines C2 intégrés dans sa configuration, CleanUpLoader assure la redondance, ce qui lui permet de continuer à fonctionner même si un serveur C2 est mis hors ligne. La porte dérobée communique avec ses serveurs de commande et de contrôle (C2) via HTTPS.

Profil des victimes de Rhysida

Les opérations de ransomware de Rhysida sont mondiales et touchent un large éventail de secteurs, ciblant principalement les gouvernements et le secteur public. Ces secteurs sont particulièrement vulnérables en raison de leurs données très sensibles et leurs mesures de sécurité souvent insuffisantes.

Parmi les violations les plus médiatisées, citons l’attaque de l’hôpital King Edward VII à Londres en 2023, au cours de laquelle, selon les dires de Rhysida, des informations sensibles du personnel de l’hôpital et des patients, y compris des membres de la famille royale britannique, ont été dérobées. En outre, les attaques contre l’armée chilienne et la ville de Columbus démontrent la capacité de Rhysida à infiltrer les infrastructures critiques du secteur public.

L’un des traits distinctifs du groupe est sa volonté de s’attaquer à des secteurs qui étaient auparavant inaccessibles aux groupes de ransomware, notamment les écoles et les hôpitaux. Il s’agit d’un changement notable dans l’éthique des ransomwares, signalant une approche plus impitoyable de la part des acteurs de la menace modernes.

Détection précoce avec Recorded Future

Les capacités de détection précoce de Recorded Future Network Intelligence ont changé la donne dans la lutte contre les ransomwares. Insikt Group a découvert que les victimes de Rhysida pouvaient être détectées en moyenne 30 jours avant leur apparition sur des sites d’extorsion publics. La surveillance de l’infrastructure de Rhysida, y compris le typosquattage des domaines et les serveurs CleanUploader C2, a rendu cette détection possible.

Le délai moyen entre l’infection initiale et le déploiement du ransomware offre aux défenseurs une fenêtre critique pour réagir. En identifiant les communications réseau et d’autres indicateurs de compromission (IoCs) de manière précoce, les équipes de sécurité peuvent agir rapidement pour neutraliser les menaces avant que les pirates ne puissent chiffrer les données ou demander une rançon.

Défense proactive : principaux enseignements

Compte tenu de la sophistication des opérations de Rhysida, la défense contre ce type de ransomware nécessite une approche proactive et axée sur le renseignement. Recorded Future Network Intelligence offre une visibilité sur l’infrastructure des groupes de ransomware, fournissant aux défenseurs des informations cruciales sur leurs outils, tactiques et procédures.

Voici les principales stratégies défensives contre Rhysida :

Détection avancée des menaces : utilisez des indicateurs précoces de compromission et des règles de détection pour une analyse personnalisée des fichiers et une détection dans les journaux afin d’identifier les menaces et y répondre.

Network Intelligence : exploitez les renseignements sur les menaces réseau fournis par Recorded Future Network Intelligence pour détecter les exfiltrations précoces, prévenir la propagation des ransomwares, utiliser la découverte proactive de l’infrastructure par Insikt Group et l’analyse approfondie du trafic réseau.

Formation des utilisateurs : sensibilisez les employés aux téléchargements malveillants, car ils restent les principales méthodes d’infection. Gestion des correctifs : assurez-vous que tous les systèmes sont mis à jour avec les derniers correctifs de sécurité afin d’empêcher l’exploitation des vulnérabilités connues.

Sauvegardes : sauvegardez régulièrement les données critiques et assurez-vous que ces sauvegardes sont stockées en toute sécurité, de préférence hors ligne, afin d’atténuer l’impact des ransomwares.

Outlook

Le ransomware Rhysida représente une menace importante pour tous les secteurs d’activité, son utilisation de CleanUpLoader rendant ses opérations très efficaces et difficiles à détecter. Cependant, grâce à des méthodes de détection précoce comme celles fournies par Recorded Future Network Intelligence, les équipes de sécurité peuvent s’assurer un avantage déterminant en identifiant les victimes bien avant le déploiement du ransomware.

Alors que les menaces liées aux ransomwares continuent d’évoluer, la surveillance proactive de l’infrastructure adverse et l’utilisation de solutions de renseignements complètes sont essentielles pour protéger les organisations contre les attaques dévastatrices. En comprenant les tactiques de Rhysida, les équipes de sécurité peuvent mettre en œuvre des stratégies défensives plus efficaces pour atténuer son impact et celui d’autres groupes de ransomwares sophistiqués.

To read the entire analysis, click here to download the report as a PDF.