Rhysida 勒索软件近期袭击了多家医疗机构

Rhysida 勒索软件活动由于连续攻击医疗机构而引起了关注，导致政府机构和网络安全公司加强了对其操作的关注。美国卫生与公众服务部(HHS)、CheckPoint、Cisco Talos和Trend Micro均发布了有关Rhysida的报告，聚焦于威胁行为者操作的不同方面。之前在6月，Rhysida因从智利军队窃取的文件泄露而首次引起关注。初始分析显示其加密技术还处于早期开发阶段，缺少常见的持续性机制等标准功能。

近期，由于对医疗机构的一系列攻击，Rhysida 勒索软件行动引起了广泛关注，迫使政府机构和网络安全公司更加关注其行为。

在美国卫生与公众服务部（HHS）发布安全公告后，CheckPoint、Cisco Talos 和 Trend Micro 均发布了关于 Rhysida 的报告，这些报告集中讨论了威胁行动者行为的不同方面。

此前在6月，Rhysida 因首次泄露从智利军队（Ejército de Chile）窃取的文件并在其数据泄露站点上公开，从而引起了人们的关注。

当时，SentinelOne 对 Rhysida 加密器的初步分析显示，该勒索软件还处于早期开发阶段，缺少在大多数变种中常见的标准功能，如持续性机制、Volume Shadow Copy 擦除、进程终止等。

Rhysida 的赎金说明写道：“这是来自网络安全团队 Rhysida 的自动警报。”

“一个不幸的情况已经出现 – 您的数字生态系统已经受到威胁，大量的机密数据已从您的网络中被盗。”

Rhysida 勒索软件的赎金说明来源：BleepingComputer

Rhysida针对医疗组织

虽然一些勒索软件团队声称他们并不有意攻击医疗组织，并且如果误攻会提供免费解密，但 Rhysida 并没有这样的做法。

Rhysida 的暗网数据泄露页面上有一个澳大利亚医疗组织的名字，如果他们在一周内不支付赎金，其被窃取的数据将会被公之于众。

Rhysida暗网数据泄露页面来源：BleepingComputer

上周，美国卫生与公众服务部（HHS）发布的公告警告称，尽管 Rhysida 仍然使用基础的加密手段，但其活动规模已增长到危险的程度，最近，这些威胁行为主体特别针对医疗保健和公共部门。

HHS 的公告写道：“其受害者分布在西欧、北美、南美和澳大利亚的多个国家。”

“他们主要攻击教育、政府、制造业、技术和托管服务提供商部门；但最近也有针对医疗和公共卫生（HPH）部门的攻击。”

据 BleepingComputer 的消息来源称，Rhysida 是最近对 Prospect Medical Holdings 的网络攻击背后的幕后黑手，该公司的系统在美国的17家医院和166个诊所中仍然遭受全面中断。

然而，Rhysida 尚未为此次攻击承担责任，而 PMH 也没有回应关于此次攻击是否由该勒索软件团伙所为的邮件。

今天发布的 Trend Micro 报告重点介绍了最常见的 Rhysida 攻击链，解释了这个威胁组织是如何使用钓鱼邮件获得初步访问权限，然后部署 Cobalt Strike 和 PowerShell 脚本，最终下发 locker 的。

Trend Micro 的分析师有一个有趣的观察，即 Rhysida 操作者使用的 PowerShell 脚本会终止AV进程、删除影子副本并修改 RDP 配置，这表明 locker 正在积极开发。

一般来说，勒索软件加密器本身会处理这些任务，但对于 Rhysida 操作，他们使用外部脚本来实现相同的目的。

Cisco Talos 的报告确认，最新的 Rhysida locker 使用 4096 位的 RSA 密钥和 ChaCha20 算法进行文件加密，并且现在排除了几个目录以及以下文件类型：

.bat .bin .cab .cmd .com .cur .diagcab .diagcfg, .diagpkg .drv .dll .exe .hlp .hta .ico .lnk .msi .ocx .ps1 .psm1 .scr .sys .ini thumbs .db .url .iso and .cab