Группировка Rhysida: Взлом Армии Чили и расширение масштабов атак

ФБР CISA Rhysida RaaS Vice Society MFA VPN вымогательское ПО кибербезопасность США Чили
Группировка Rhysida: Взлом Армии Чили и расширение масштабов атак
ФБР CISA Rhysida RaaS Vice Society MFA VPN вымогательское ПО кибербезопасность США Чили

Агентства призывают правительственные организации укрепить свою безопасность как можно скорее.

image

Федеральное бюро расследований (ФБР) и Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) в совместном заявлении от 15 ноября предупредили о росте атак, осуществляемых группировкой Rhysida, специализирующейся на вымогательском программном обеспечении.

Хакерская группа, появившаяся в мае 2023 года, стала известна после взлома Армии Чили и публикации украденных данных в сети. Отмечается, что Rhysida активно атакует организации в различных отраслях, включая образование, здравоохранение, производство, информационные технологии и государственный сектор.

Специалисты подчёркивают, что группировка использует RaaS-модель вредоносной деятельности, а полученные денежные выкупы делятся между членами группы и многочисленными аффилиатами.

Особое внимание агентства уделили методам атаки Rhysida, включая взлом удалённых служб доступа (например, VPN) с использованием украденных учётных данных. Ещё одним распространённым вектором атаки стала эксплуатация известных уязвимостей, таких как, например, Zerologon ( CVE-2020-1472 ). Это становится возможным в случаях, когда организации не применяют многофакторную аутентификацию (MFA) по умолчанию.

В дополнение, отмечается, что участники группировки Vice Society, известные как Vanilla Tempest или DEV-0832, также перешли к использованию вымогательского софта Rhysida в своих атаках.

Исследования компаний Sophos , Check Point и PRODAFT показывают, что переход Vice Society на использование Rhysida произошёл примерно в июле этого года, вскоре после того, как группировка начала публиковать данные жертв на своём сайте утечек данных.

ФБР и CISA рекомендуют специалистам по сетевой безопасности применять все возможные меры по снижению вероятности и последствий инцидентов с вымогательским ПО.

К минимальным мерам в агентствах отметили регулярное обновление ПО для устранения активно эксплуатируемых уязвимостей, включение MFA для всех служб, особенно для веб-почты, VPN и критически важных системных аккаунтов, а также использование сегментации сети для предотвращения попыток бокового перемещения.

Наш канал защищен лучше, чем ваш компьютер!

Но доступ к знаниям открыт для всех

Получите root-права на безопасность — подпишитесь