Un’analisi dettagliata di Check Point Research ha rivelato similitudini tattiche tra i gruppi ransomware Rhysida e Vice Society. Entrambi questi gruppi hanno mostrato un particolare interesse nel prendere di mira i settori dell’istruzione e della sanità.
Collegamenti tra Rhysida e Vice Society
Vice Society, monitorata da Microsoft con il nome Storm-0832, ha una tendenza a utilizzare binari ransomware preesistenti venduti su forum criminali per i loro attacchi. Il gruppo ha anche mostrato di ricorrere a attacchi basati puramente sull’estorsione, dove i dati vengono esfiltrati senza cifrarli. Rhysida, invece, è noto per affidarsi a attacchi di phishing e Cobalt Strike per violare le reti delle vittime e distribuire i loro payload.
Tecniche di attacco
Il movimento laterale viene facilitato utilizzando il protocollo desktop remoto (RDP) e sessioni remote di PowerShell. Il payload ransomware viene distribuito utilizzando PsExec. Il controllo dei comandi viene ottenuto attraverso backdoor come SystemBC e strumenti di gestione remota come AnyDesk. Gli attacchi sono noti anche per cancellare costantemente log e artefatti forensi per coprire le loro tracce.
Settori presi di mira
Oltre all’istruzione, entrambi i gruppi hanno attaccato settori come il governo, la produzione, la tecnologia e i fornitori di servizi gestiti. Recentemente, hanno anche preso di mira il settore sanitario e della salute pubblica.
🔴 OSSERVATORIO INTELLIGENCE: LIVE
Correlazione tra Rhysida e Vice Society
Le ultime scoperte di Check Point hanno rivelato una “chiara correlazione” tra l’emergere di Rhysida e la scomparsa di Vice Society. Questo include l’uso di NTDSUtil, la creazione di regole del firewall locale e l’utilizzo di uno strumento chiamato PortStarter, quasi esclusivamente collegato a Vice Society.
L’analisi del ransomware Rhysida ha rivelato chiari legami con Vice Society. Tuttavia, ha anche mostrato una verità inquietante: le tattiche dei principali attori del ransomware rimangono in gran parte invariate. Gli attori delle minacce utilizzano una varietà di strumenti per facilitare tali attacchi.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
