Barracuda full logo

Rhysida-Ransomware: Der gruselige, kriechende Verbrecher versteckt sich im Dunkeln

Themen:
9. Mai. 2024
|
Christine Barry

Heute beschäftigen wir uns mit der Rhysida-Ransomware, einer Ransomware-as-a-Service-Operation (RaaS), bei der die Opfer durch doppelte Erpressung zur Zahlung eines Lösegelds gezwungen werden. Rhysida wurde zum ersten Mal im Mai 2023 beobachtet, aber es stellte sich später heraus, dass diese Malware bereits seit Januar desselben Jahres in Betrieb gewesen war.

Rhysida ist heute immer noch aktiv und hat auf seiner Leak-Website 91 Opfer veröffentlicht. Die Aktivität dieser Gruppe stieg im November 2023 sprunghaft an und hat seitdem abgenommen. Das jüngste Opfer ist Unimed Vales do Taquari e Rio Pardo (Unimed), dem sieben Tage Zeit gegeben worden war, um zu zahlen, bevor Rhysida die gestohlenen Daten veröffentlicht. 

 

Unimed Vales do Taquari e Rio Pardo (Unimed) auf der Rhysida-Link-Site, über Falconfeeds

Unimed Vales do Taquari e Rio Pardo (Unimed) auf der Rhysida-Link-Site, über Falconfeeds

 

Wer ist Rhysida?

Die Rhysida-Operation ist eindeutig von finanziellen Motiven getrieben. Ansonsten ist wenig über diese Ransomware-Gruppe bekannt. Sie scheint mit keinem Nationalstaat oder einer politischen Ideologie verbunden zu sein. Forscher glauben, dass sich die Gruppe in Russland oder in der Gemeinschaft Unabhängiger Staaten (GUS) befindet, einer Gruppe von Nationalstaaten, die früher Teil der Sowjetunion waren. Dies basiert auf mehreren Beobachtungen, wie der Hauptsprache der internen Kommunikation (Russisch) und dem Vorhandensein russischer Wörter und Sätze auf der Rhysida-Leckseite. Die Gruppe zielt auf Unternehmen in allen Ländern mit Ausnahme von Russland und anderen GUS-Staaten ab. Dies deutet darauf hin, dass sie sich in Reichweite der russischen oder GUS-Strafverfolgungsbehörden befinden.

Der Name der Gruppe stammt von der Gattung der Tausendfüßler (Rhysida). Analysten vermuten, dass damit ein Bild von Heimlichkeit und Schatten vermittelt werden soll. Einige Reddit-Benutzer spielten scherzhaft mit der Vorstellung, dass der Name eine Hommage an Jack Rhysider sei, den Kopf und die Stimme hinter dem hervorragenden Podcast „Darknet Diaries“ .  Ich bezweifle, dass irgendjemand diese Idee ernst genommen hat, aber nur für den Fall, hier ist ein Screenshot von der Rhysida-Leak-Seite:

 

 

Im August 2023 gab das Health Sector Cybersecurity Coordination Center (HC3), eine Behörde des US-Gesundheitsministeriums (HHS), eine Branchenwarnung zur Rhysida-Ransomware und der erhöhten Bedrohung für Organisationen im Gesundheitsbereich und des öffentlichen Gesundheitswesens heraus. In diesem Bericht erklärte HC3, dass sich die Rhysida-Ransomware offenbar in einem frühen Entwicklungsstadium befindet, und andere Analysten stellten fest, dass „bei den Proben weiterhin Standardfunktionen wie VSS-Entfernung, mehrere Persistenzmechanismen, Prozessbeendigung oder -unhooking fehlen“. Das stimmte mit anderen Analysten überein, die spekulierten, dass es sich bei Rhysida um eine „unerfahrene Malware“ handelt, weil der Angriff für den Endbenutzer sichtbar war. Hier ist ein Screenshot des Angriffs in Aktion:

 

 

Ausgereifte Angriffe sind so konzipiert, dass sie im Hintergrund operieren und unsichtbar bleiben. Neuartige Malware-Angriffe sind weniger ausgefeilt und leichter zu erkennen und abzuwehren. Leider erweist sich Rhysida nur wenige Monate nach der Veröffentlichung der HC3-Warnung als eine fortgeschrittenere Bedrohung.

So funktioniert Rhysida

Rhysida-Operatoren verwenden eine Reihe von Methoden, um sich Zugang zu einem System zu verschaffen und sich darin einzunisten. Hier sind einige ihrer Favoriten:

  • Spear Phishing mit bösartigen Anhängen, die Malware ausführen oder zu einer bösartigen Website umleiten, die den Download von Malware ermöglicht.
  • Ausnutzung von ungepatchten Schwachstellen in Webservern, E-Mail-Servern oder anderen Netzwerkinfrastrukturen.
  • Angriff auf Zugriffspunkte von Remote Desktop Protocol (RDP) und Virtual Private Network (VPN). Um sich über diese Access Points Zugang zu verschaffen, können Angreifer gestohlene Zugangsdaten, Credential-Stuffing, Schwachstellen-Exploits oder Brute-Force-Angriffe verwenden.
  • Entführen oder Bereitstellen legitimer Verwaltungstools wie PowerShell, WinSCP, Cobalt Strike, PsExec und andere für den Erstzugriff und zur Erleichterung der lateralen Bewegung innerhalb der kompromittierten Netzwerke.

Je nachdem, wen Sie fragen, sind entweder Phishing- oder RDP-Angriffe die Hauptmethoden für den Erstzugang, aber Rhysida ist in der Lage, viele verschiedene Methoden anzuwenden.

Sobald Rhysida im System ist, verstärken sie ihren Angriff, indem sie seine benutzerdefinierte Malware installieren und sich auf das Verschlüsselungsereignis vorbereiten:

  • Es wird versucht, durch Privilegienerweiterung höhere Berechtigungen im Netzwerk zu erhalten. Dies gibt ihnen viel mehr Möglichkeiten, einschließlich der Fähigkeit, Windows-Netzwerk-Anmeldeinformationen auszulesen und zu erfassen.
  • Seitwärtsbewegungen werden so schnell wie möglich eingeleitet, sind aber in der Regel effektiver, nachdem die Privilegien eskaliert worden waren. An diesem Punkt sammelt die Gruppe Informationen über die Systeme und Daten und verbreitet Malware im gesamten System, um einen umfassenden Angriff vorzubereiten.
  • Die Datenexfiltration ist der nächste Schritt. Rhysida stiehlt Daten aus dem System, bevor die Verschlüsselung gestartet wird. Auf diese Weise kann mit der Veröffentlichung der gestohlenen Daten gedroht werden, bei der Weigerung des Opfers, einen Entschlüsselungsschlüssel zu kaufen.

Jetzt sind wir an dem Punkt der Verschlüsselung angelangt.

  • Die Rhysida-Ransomware-Binärdatei wird mit PsExec ausgeführt, einem Systemtool, mit dem Sie selbst Programme auf Remote-Systemen ausführen können. Dies hilft den Kriminellen, den „Explosionsradius“ durch das Netzwerk zu erweitern. Die Ransomware verschlüsselt Server- und Workstation-Daten und nimmt eine Umbenennung mit der Dateiendung .rhysida vor.
  • Auf den infizierten Systemen wird eine Lösegeldforderung hinterlassen. Die Notiz enthält Anweisungen für die Zahlung und benachrichtigt darüber, dass das „Cybersecurity Team Rhysida“ das Opfer über einen entdeckten Sicherheitsverstoß benachrichtigt:

 

 

Die Lösegeldforderung ist eine PDF-Datei mit dem Namen „CriticalBreachDetected.pdf“.

Von hier aus geht die Erpressung wie bei den meisten anderen Ransomware-Angriffen weiter: Den Opfern wird mitgeteilt, wie sie das Lösegeld zahlen sollen, und es wird eine Timeline für die drohende Datenveröffentlichung oder den Datenverkauf kommuniziert.Der Name des Opfers wird auf der Rhysida-Leck-Seite zusammen mit Screenshots oder ausgewählten Teilen der gestohlenen Daten veröffentlicht. Dies bereitet das vollständige Spiel der doppelten Erpressung vor.

Rhysida versucht außerdem, seine Präsenz im Netzwerk aufrechtzuerhalten, um die Entwicklungen zu überwachen, die Forderungen durchzusetzen und sich auf zukünftige Angriffe vorzubereiten.

Rhysidas maßgeschneiderte Ransomware

Eines der interessanten Dinge an Rhysida ist, dass es sich zwar noch im August 2023 um unerfahrene Malware zu handeln schien, aber bereits im Oktober 2023 als ausgeklügelte Malware klassifiziert wurde. Im Februar 2024 entdeckten Forscher der Kookmin University und der Korea Internet and Security Agency (KISA) eine Schwachstelle im Quellcode der Ransomware Rhysida. Diese Forscher veröffentlichten detaillierte Informationen zur Schwachstelle sowie ebenfalls eine bewährte Entschlüsselungsmethode.

Sicherheitsforscher haben beobachtet, dass die Ransomware von Rhysida einen Selbstlöschmechanismus verwendet, der die Ransomware-Binärdatei nach der Verschlüsselung aus dem System entfernt. Diese Vorgehensweise verschleiert Informationen über den Angriff und erschwert somit die forensische Analyse. Rhysida ist auch mit Microsoft Windows-Versionen vor Windows 10 kompatibel. Dadurch wird die potenzielle ZIelgruppe um einige Prozentpunkte erweitert. Einer schnellen Schätzung auf Grundlage von Marktanteilen und anderen Daten zufolge sind durch diese Abwärtskompatibilität weitere 63,3 Millionen Windows-Systeme gefährdet. Die tatsächliche Zahl ist jedoch hoffentlich nicht so hoch. Viele dieser Systeme sind wahrscheinlich isoliert oder werden schließlich ersetzt, da sich Windows 10 dem Ende seiner Lebensdauer nähert. Es ist immer noch ein Risiko, und wenn Sie diese älteren, nicht mehr unterstützten Systeme verwenden, ist die Kompatibilität mit Rhysida ein weiterer Grund für ein Update.

Bekannte Opfer

Rhysida greift Unternehmen in allen Wirtschaftsbereichen an. Die Gruppe erregte die Aufmerksamkeit der Sicherheitsbranche mit ihrem erfolgreichen Angriff auf die chilenische Armee, der am Wochenende des 27. Mai 2024 von chilenischen Armeebeamten entdeckt worden war. Rhysida verschaffte sich durch einen Phishing-Angriff Zugang und ließ schließlich etwa 30 % der angeblich gestohlenen Dokumente durchsickern. 

 

 

Rhysida hatte auch mehrere bedeutende Opfer im Gesundheitswesen, darunter Unimed (oben genannt), Prospect Medical Holdings und Lurie's Children's Hospital. Der Prospect Medical Holdings-Angriff betraf 17 Krankenhäuser und 166 Kliniken in den Vereinigten Staaten. Rhysida behauptete, 1,3 Terabyte an SQL-Datenbanken und ein Terabyte an Dokumenten exfiltriert zu haben. Security Boulevard stellte diese Abfolge von Ereignissen im Zusammenhang mit dem Angriff zusammen:

  1. Die Ransomware Rhysida begann, den Angriff zu starten, indem sie infizierte Dateien über Phishing-E-Mails und Cobalt Strike verbreitete.
  2. 3. August 2023: Die Mitarbeiter von Prospect werden auf den Angriff aufmerksam und stellen fest, dass ihre Computer durch Ransomware deaktiviert worden waren.
  3. Später an diesem Tag begann Prospect, Systeme und Netzwerkverbindungen abzuschalten, um den Vorfall möglichst einzudämmen.
  4. Infolgedessen musste bei allen Patientenakten und bei der Verwaltung auf Papier zurückgegriffen werden, was die Behandlungen verlangsamte und behinderte. 
  5. Prospect begann mit dem mühsamen Prozess der Wiederherstellung der Funktionsfähigkeit der Systeme und der Wiederherstellung der Netzwerkkonnektivität im gesamten Unternehmen.
  6. 24. August 2023: Rhysidia erklärt sich für den Angriff verantwortlich und bietet im Dark Web ihre gestohlenen Waren an. 
  7. September 2023: Prospect gibt bekannt, dass die „Computersysteme nun wieder betriebsbereit sind“
  8. In den nächsten Monaten, möglicherweise vielleicht sogar Jahren, wird Prospect das gesamte Ausmaß des Angriffs zu untersuchen haben und ebenso die HIPAA-bezogenen Folgen des Vorfalls zu bewältigen haben. 

Rhysida griff im November 2023 erfolgreich die British Library an, verschlüsselte Dateien und stahl rund 600 GB Daten, darunter vertrauliche persönliche Daten von Bibliotheksbenutzern und -mitarbeitern. Die Betriebsunterbrechung der Bibliothek dauerte bis ins Jahr 2024 an, und die Wiederherstellungskosten wurden auf 7,5–8,7 Millionen Dollar geschätzt. Die Bibliothek entschied sich damals gegen die Zahlung des Lösegelds, welches zu diesem Zeitpunkt weniger als 1 Million Dollar betrug.

Die British Library hat hier einen ausführlichen Bericht über den Vorfall veröffentlicht. Eine der wichtigsten Erkenntnisse ist dieser Absatz auf Seite 2 des Berichts:

Unsere wichtigsten Softwaresysteme können nicht in den Zustand vor dem Angriff zurückversetzt werden, weil sie entweder vom Hersteller nicht mehr unterstützt werden oder weil sie in der neuen sicheren Infrastruktur, die derzeit eingeführt wird, nicht funktionieren. Dazu gehört auch unsere Hauptplattform für Bibliotheksdienste, die Dienstleistungen von der Katalogisierung und dem Ingest von Non-Print-Legal-Deposit-Material (NPLD) bis hin zum Zugriff auf Sammlungen und die Fernleihe unterstützt. Andere Systeme müssen geändert oder auf neuere Softwareversionen migriert werden, bevor sie in der neuen Infrastruktur wiederhergestellt werden können. Unsere cloudbasierten Systeme, einschließlich der Finanz- und Lohnbuchhaltung, haben während des Vorfalls normal funktioniert.“

(Hervorhebung von mir)

Ich weise extra darauf hin, weil wir über das Risiko von Altsystemen und die Schwierigkeit, sie zu sichern, gesprochen haben. Wenn Sie auf der Suche nach einer stichfesten Argumentation sind, die Ihnen dabei hilft, ein Budget für die Aufrüstung Ihrer Systeme aufzustellen, könnte dieser Bericht hilfreich sein.

Im Dezember 2023 landete Rhysida einen Volltreffer mit dem erfolgreichen Angriff von Insomniac Games, einem Videospielentwickler, der zu dieser Zeit am Spiel „Marvel’s Wolverine“ gearbeitet hatte. Die gestohlenen Daten erwiesen sich als Goldschatz für die Kriminellen. Zu den Daten gehörten interne HR-Dokumente, Passscans von Mitarbeitern, Screenshots von Slack-Gesprächen, Details zu bevorstehenden Projekten sowie Geheimhaltungsvereinbarungen und andere Verträge. Während Hardcore-Kriminelle es auf die persönlichen Dateien abgesehen haben, interessiert sich der durchschnittliche Alltags-Pirat für die Spiele, die als Teil der Daten durchgesickert sind. Es gibt immer noch ein aktives Subreddit, das sich dem Teilen der Leaks vom „großen Insomniac- und PlayStation-Hack vom Dezember 2023“ befasst. 

Rhysida-Stammbaum

Rhysida und Vice Society sind in gewisser Weise miteinander verbunden, aber die Meinungen über ihre Beziehung gehen auseinander. Die meisten Berichte kommen zu dem Schluss, dass Rhysida ein Rebranding der früheren Gruppe ist.

Die Verbindung zwischen Vice Society und Rhysida basiert auf überlappenden Taktiken und der gelegentlichen Nutzung der Ransomware-Nutzdaten des jeweils anderen. Die Verschlüsselungsmethoden von Rhysida und die Struktur seiner Ransomware-Notizen sind ebenfalls ähnlich, und Rhysida wurde bei der Nutzung der Server und Domänen beobachtet, die von der Vice Society verwendet worden waren.

Vice Society ist ein Ransomware-Akteur mit doppelter Erpressung, der 2021 auftauchte und schnell zu einer der größten Bedrohungen für den Bildungssektor geworden war, insbesondere für öffentliche Schulen. Sie erinnern sich vielleicht an den Namen aufgrund des massiven Angriffs auf den Los Angeles Unified School District (LAUSD) im Jahr 2022. LAUSD zahlte damals das Lösegeld nicht und Vice Society machte seine Drohungen wahr. Der Angriff verursachte erhebliche Störungen und führte zum Verlust von Tausenden von Schüler- und Mitarbeiterdaten. Eine unabhängige Analyse von The 74 ergab, dass etwa 2.000 psychologische Bewertungen von Schülern in dem Leck enthalten gewesen waren.

Anders als viele Ransomware-Gruppen ist Vice Society eine geschlossene Gruppe ohne Tochtergesellschaften und operiert nicht als RaaS. Es wird vermutet, dass es sich um eine Organisation mit Sitz in Russland handelt.

Die Aktivitäten der Vice Society ließen allmählich nach, als Rhysida auftauchte. Aus diesem Grund und aus den anderen oben genannten Gründen wird allgemein angenommen, dass Rhysidas Ursprünge im Umfeld der Vice Society liegen. Das Seltsame daran ist, dass die maßgeschneiderte Rhysida-Malware als „einfach“ galt, als sie erstmals auftrat. Wie im Abschnitt „Wer ist Rhysida?“ erwähnt, handelte es sich bei der Ransomware vermutlich um neuartige Malware. Das scheint ungewöhnlich für einen Bedrohungsakteur, der bereits erfolgreiche Angriffe auf hochkarätige Ziele im Bildungs- und Gesundheitswesen und in anderen Bereichen vorzuweisen hat. 

 

 

Vice Society hat im Januar 2023 auch den San Francisco Bay Area Rapid Transport (BART) auf seiner Leak-Site aufgeführt. BART zahlte das Lösegeld nicht und etwa 120.000 Dokumente gelangten an die Öffentlichkeit. Diese Dateien wurden von der BART-Polizei gestohlen und enthielten einige potenziell schädliche und peinliche Informationen:

Die Dateien enthalten unzensierte Berichte über mutmaßlichen Kindesmissbrauch, einschließlich der Namen und Geburtsdaten der Kinder und in einigen Fällen auch Beschreibungen der Erwachsenen und den Ablauf des mutmaßlichen Kindesmissbrauchs.

Das Leck enthüllte auch Formulare zur psychischen Gesundheit, die die Transit-Polizei verwenden konnte, um eine Untersuchung der psychischen Gesundheit in Erwägung zu ziehen, Berichte, die namentlich genannte Verdächtige mit verschiedenen Verbrechen in Verbindung brachten, die Namen und Führerscheinnummern von BART-Vertragspartnern und die Dokumente von Einstellungsbewerbern.

Es scheint seltsam, dass sich eine derart erfahrene Gruppe zu einer Gruppe entwickelt, die neuartige Malware verwendet. Aber Rhysida hat seine Ransomware sehr schnell verbessert, und vielleicht lag das daran, dass die Gruppe ein paar erfahrene Bedrohungsakteure von Vice Society an Board holen konnte.

Was steht als Nächstes an?

Die Timelines von Vice Society und Rhysida überschneiden sich, ebenso wie ihre Taktiken. Seit August 2023, als Forscher die Verbindung zwischen den Gruppen erkannt hatten, gab es nicht mehr viele Neuigkeiten über Vice Society.

Das Problem mit Namen wie Vice Society und Rhysida besteht darin, dass es sich dabei lediglich um temporäre Marken für Gruppen einzelner Bedrohungsakteure handelt, die problemlos von einem Namen zum anderen wechseln können. Die Bedrohungscluster hinter den Marken sind immer aktiv, auch wenn die Marke abgeschaltet oder einfach ausgeblendet wird.

Der beste Weg, sich vor Ransomware-Familien wie Rhysida zu schützen, besteht darin, eine Zero-Trust-Mentalität anzunehmen. Gehen Sie davon aus, dass alles ein Angriff ist und überprüfen Sie inständig. Die US-amerikanische Cybersecurity and Infrastructure Agency (CISA) empfiehlt Unternehmen, Folgendes sofort zu tun:

  • Priorisieren Sie die Behebung bekannter, ausgenutzter Schwachstellen.
  • Aktivieren Sie die Multifaktor-Authentifizierung (MFA) für alle Dienste so weit wie möglich, insbesondere für Webmail, VPN und Konten, die auf kritische Systeme zugreifen.
  • Segmentieren Sie Netzwerke, um die Ausbreitung von Ransomware zu verhindern.

Weitere Informationen finden Sie in der CISA-Empfehlung, die hier veröffentlicht wird.

Barracuda kann helfen  

Nur Barracuda bietet einen vielschichtigen Schutz, der alle wichtigen Bedrohungsvektoren abdeckt, Ihre Daten schützt und die Reaktion auf Vorfälle automatisiert. Über 200.000 Kunden weltweit vertrauen Barracuda den Schutz ihrer E-Mails, Netzwerke, Anwendungen und Daten an. Auf unserer Website können Sie unsere umfassende Cybersecurity-Plattform erkunden.

 

 

Christine Barry

Christine Barry ist Senior Chief Blogger und Social Media Manager bei Barracuda.  Bevor sie zu Barracuda kam, war Christine über 15 Jahre lang als Außendiensttechnikerin und Projektmanagerin für K12- und KMU-Kunden tätig.  Sie hat mehrere Zugangsdaten für Technologie und Projektmanagement, einen Bachelor of Arts und einen Master of Business Administration. Sie ist Absolventin der University of Michigan.

Vernetzen Sie sich hier auf LinkedIn mit Christine.

Verwandte Beiträge:
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
 Lazarus Group: A criminal syndicate with a flag
Lazarus Group: A criminal syndicate with a flag
 Systemschock: Die Ransomware Storm-0501 verlagert sich in die Cloud
Systemschock: Die Ransomware Storm-0501 verlagert sich in die Cloud
 Erste Anzeichen für KI-gestützte Ransomware-Angriffe tauchen auf
Erste Anzeichen für KI-gestützte Ransomware-Angriffe tauchen auf
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.