Sommario
Un’analisi dettagliata di Check Point Research ha rivelato similitudini tattiche tra i gruppi ransomware Rhysida e Vice Society. Entrambi questi gruppi hanno mostrato un particolare interesse nel prendere di mira i settori dell’istruzione e della sanità.
Collegamenti tra Rhysida e Vice Society
Vice Society, monitorata da Microsoft con il nome Storm-0832, ha una tendenza a utilizzare binari ransomware preesistenti venduti su forum criminali per i loro attacchi. Il gruppo ha anche mostrato di ricorrere a attacchi basati puramente sull’estorsione, dove i dati vengono esfiltrati senza cifrarli. Rhysida, invece, è noto per affidarsi a attacchi di phishing e Cobalt Strike per violare le reti delle vittime e distribuire i loro payload.
Tecniche di attacco
Il movimento laterale viene facilitato utilizzando il protocollo desktop remoto (RDP) e sessioni remote di PowerShell. Il payload ransomware viene distribuito utilizzando PsExec. Il controllo dei comandi viene ottenuto attraverso backdoor come SystemBC e strumenti di gestione remota come AnyDesk. Gli attacchi sono noti anche per cancellare costantemente log e artefatti forensi per coprire le loro tracce.
Settori presi di mira
Oltre all’istruzione, entrambi i gruppi hanno attaccato settori come il governo, la produzione, la tecnologia e i fornitori di servizi gestiti. Recentemente, hanno anche preso di mira il settore sanitario e della salute pubblica.
Correlazione tra Rhysida e Vice Society
Le ultime scoperte di Check Point hanno rivelato una “chiara correlazione” tra l’emergere di Rhysida e la scomparsa di Vice Society. Questo include l’uso di NTDSUtil, la creazione di regole del firewall locale e l’utilizzo di uno strumento chiamato PortStarter, quasi esclusivamente collegato a Vice Society.
L’analisi del ransomware Rhysida ha rivelato chiari legami con Vice Society. Tuttavia, ha anche mostrato una verità inquietante: le tattiche dei principali attori del ransomware rimangono in gran parte invariate. Gli attori delle minacce utilizzano una varietà di strumenti per facilitare tali attacchi.
