Что бы могла значить такая явная связь между группировками?
Исследователи угроз из Check Point Research обнаружили тактическое сходство между группировками вымогателей Rhysida и Vice Society, и их целями в секторах образования и здравоохранения. Специалисты заметили, что со средней степенью достоверности операторы Vice Society в настоящее время используют программу-вымогатель Rhysida в своих кампаниях.
Группа Vice Society (Storm-0832), активная с мая 2021 года, в своих вымогательских атаках использует уже готовые двоичные файлы программ-вымогателей, которые продаются на хакерских форумах. Первоначальный доступ к сети осуществляется через скомпрометированные учетные данные или эксплуатацию уязвимостей повышения привилегий.
В свою очередь, группа вымогателей Rhysida, впервые обнаруженная в мае 2023 года, использует фишинг и Cobalt Strike для взлома целевых сетей и развертывания полезных нагрузок. Большинство жертв группы базируются в США, Великобритании, Италии, Испании и Австрии.
Хакеры Rhysida осуществляют боковое перемещение (Lateral Movement) с помощью протокола удаленного рабочего стола (Remote Desktop Protocol, RDP) и удаленных сеансов PowerShell, а полезная нагрузка программы-вымогателя развертывается с помощью инструмента Windows PsExec. Командование и контроль операций (Command and Control, C2) достигается с помощью бэкдора SystemBC и инструментов удаленного управления, таких как AnyDesk.
Примечательно, что цепочки атак групп постоянно очищают журналы и криминалистические артефакты, чтобы скрыть следы взлома, и изменяют пароль для всего домена, чтобы помешать усилиям по исправлению.
Активность групп Vice Society и Rhysida
По данным Check Point, между появлением Rhysida и исчезновением Vice Society прослеживается чёткая связь. Эксперты выделили использование легитимного инструмента командной строки NTDSUTil, создание правил локального брандмауэра для обеспечения связи с C2-сервером через SystemBC и использование инструмента PortStarter, который использовался исключительно Vice Society.
С тех пор, как Rhysida впервые появилась в мае 2023, Vice Society на своём сайте утечек опубликовала только 2 жертвы. Вполне вероятно, что жертвы были известны ранее, но были опубликованы только в июне. Хакеры Vice Society перестали публиковать сообщения на сайте утечек с 21 июня 2023 года.
Другим важным показателем является соответствие в виктимологии киберпреступников. И Rhysida, и Vice Society нацелены на отрасль образования, на их долю приходится 32% и 35% всех атак соответственно.
Исследователи отметили, что TTPs участников групп остаются практически неизменными — от использования инструментов удаленного управления, таких как AnyDesk, до развертывания программ-вымогателей через PsExec.
Ранее мы писали, что, согласно отчету Palo Alto Networks Unit 42, группировка Vice Society в 2022 году атаковала 33 образовательных учреждения , это больше, чем другие программы-вымогатели. Palo Alto Networks назвала Vice Society «одной из самых влиятельных групп вымогателей 2022 года». В общей сложности жертвами группы стали компании из сектора здравоохранения, правительства, производства, розничной торговли и юридических услуг.
Большой взрыв знаний каждый день в вашем телефоне