Το FBI και η CISA προειδοποίησαν σήμερα για ευκαιριακές επιθέσεις της συμμορίας Rhysida ransomware, που στοχεύουν οργανισμούς από διάφορους κλάδους της βιομηχανίας.

Δείτε επίσης: Η ομάδα Rhysida ransomware αναλαμβάνει την ευθύνη της επίθεσης στο PGCPS

Η επιχείρηση που ονομάζεται Rhysida, ένας κακόβουλος κώδικας που εμφανίστηκε τον Μάιο του 2023, απέκτησε γρήγορα κακή φήμη, αφού διέρρευσε δεδομένα που είχε κλέψει από τον Χιλιανό Στρατό (Ejército de Chile). Πρόσφατα, το Υπουργείο Υγείας και Κοινωνικής Πρόνοιας των ΗΠΑ (HHS) προειδοποίησε επίσης ότι η συμμορία Rhysida φέρει ευθύνη για πρόσφατες επιθέσεις σε οργανισμούς υγείας.

Η κοινή ενημέρωση κυβερνοασφάλειας παρέχει στους αμυντικούς δείκτες παραβίασης (IOCs), πληροφορίες ανίχνευσης και τακτικές, τεχνικές και διαδικασίες της Rhysida (TTPs) που ανακαλύφθηκαν κατά τη διάρκεια των έρευνών έως τον Σεπτέμβριο του 2023.

Οι επιτιθέμενοι που εκμεταλλεύονται το Rhysida ransomware είναι γνωστοί για τον αντίκτυπο που ασκούν σε “ευκαιριακούς στόχους”, συμπεριλαμβανομένων των θυμάτων στους τομείς της εκπαίδευσης, της υγείας, της κατασκευής, της πληροφορικής και της κυβέρνησης“, ανέφεραν οι δύο οργανισμοί.

Λαμβάνοντας υπόψη το μοντέλο του Rhysida ως υπηρεσία ransomware (RaaS), οι δράστες έχουν παραβιάσει οργανισμούς στους τομείς της εκπαίδευσης, της κατασκευής, της πληροφορικής και της κυβέρνησης, και τα λύτρα που πληρώνονται μοιράζονται μεταξύ της ομάδας και των συνεργατών.”

Επιτιθέμενοι της Rhysida έχουν εντοπιστεί να παραβιάζουν εξωτερικές υπηρεσίες από απόσταση (όπως τα VPN που επιτρέπουν στους χρήστες επιχειρήσεων να έχουν πρόσβαση σε εταιρικά περιουσιακά στοιχεία από εξωτερικές τοποθεσίες), χρησιμοποιώντας κλεμμένα διαπιστευτήρια για να καθιερώσουν αρχική πρόσβαση και να διατηρήσουν μια παρουσία στα δίκτυα των θυμάτων. Αυτό ήταν δυνατό όταν οι οργανισμοί δεν είχαν ενεργοποιημένη την πολυπαραγοντική ταυτοποίηση (MFA) από προεπιλογή σε όλο το περιβάλλον τους.

Δείτε ακόμα: LockBit ransomware: Χρησιμοποιεί την ευπάθεια Citrix Bleed σε επιθέσεις

Επιπλέον, οι κακόβουλοι δράστες της Rhysida είναι γνωστοί για τις επιθέσεις phishing και την εκμετάλλευση του Zerologon (CVE-2020-1472), μιας κρίσιμης ευπάθειας που επιτρέπει την εξέλιξη προνομιακών δικαιωμάτων στα Windows μέσω του πρωτοκόλλου Netlogon της Microsoft.

Το FBI και η CISA προσθέτουν ότι συνεργάτες που συνδέονται με την ομάδα Vice Society, έχουν μεταβεί στη χρήση των φορτίων του Rhysida ransomware κατά τη διάρκεια των επιθέσεών τους.

Οι εταιρείες Sophos, Check Point Research και PRODAFT έχουν παρατηρήσει αυτήν τη μετατόπιση να συμβαίνει περίπου τον Ιούλιο του 2023, αμέσως μετά που η Rhysida άρχισε να προσθέτει θύματα στον ιστότοπό της για τη διαρροή δεδομένων. Συνιστάται στους υπεύθυνους ασφάλειας δικτύου να εφαρμόζουν τα μέτρα που περιγράφονται στην κοινή ενημέρωση, προκειμένου να ελαχιστοποιηθεί η πιθανότητα και η σοβαρότητα των περιστατικών ransomware, όπως αυτό του Rhysida.

Ένας από τους βασικούς τρόπους προστασίας από τις επιθέσεις του Rhysida ransomware είναι η τακτική ενημέρωση των λογισμικών σε όλες τις συσκευές. Οι επιθέσεις ransomware εκμεταλλεύονται συχνά τις ευπάθειες των παλαιών εκδόσεων λογισμικού για να εισβάλουν στο σύστημα. Επομένως, είναι σημαντικό να εγκαθιστούν άμεσα όλες οι διαθέσιμες ενημερώσεις και ενημερώσεις ασφαλείας.

Δείτε επίσης: Προβλέπεται αύξηση των ransomware επιθέσεων σε οργανισμούς στον ενεργειακό τομέα

Ένα άλλο σημαντικό μέτρο προστασίας είναι η εγκατάσταση και η ενημέρωση ενός αξιόπιστου λογισμικού antivirus. Τα περισσότερα antivirus παρέχουν προστασία ενάντια για γνωστά ransomware, καθώς και τη δυνατότητα ανίχνευσης και απόκρισης σε νέες απειλές. Επιλέξτε ένα αξιόπιστο πρόγραμμα και διατηρήστε το ενημερωμένο για μέγιστη προστασία.

Επιπλέον, η εφαρμογή αυστηρών πολιτικών κωδικοποίησης και προστασίας πρόσβασης μπορεί να αποτρέψει τις επιθέσεις ransomware. Χρησιμοποιήστε ισχυρούς κωδικούς πρόσβασης και αλλάξτε τους τακτικά. Επιπλέον, εφαρμόστε πολιτικές περιορισμού πρόσβασης, ώστε μόνο εξουσιοδοτημένα άτομα να έχουν πρόσβαση σε ευαίσθητα δεδομένα.

Τέλος, τακτικά αντίγραφα ασφαλείας των δεδομένων σας μπορούν να σας προστατεύσουν από τις επιθέσεις ransomware. Κάντε αντίγραφα ασφαλείας των σημαντικών αρχείων σας και αποθηκεύστε τα σε ασφαλή τοποθεσία, όπως εξωτερικό σκληρό δίσκο ή cloud storage. Έτσι, ακόμη και αν πέσετε θύμα επίθεσης ransomware, θα έχετε τη δυνατότητα να ανακτήσετε τα δεδομένα σας χωρίς να πληρώσετε λύτρα.

Πηγή: bleepingcomputer