一個名為'' Rhysida ''的新勒索組織從2023年5月以來一直在運營，對醫療保健行業構成巨大的危險，他與多起重大襲擊也有關聯

其中包括對智利軍隊的襲擊。最近，該組織還捲入對 Prospect Medical Holdings 的攻擊，進而影響了上百家醫院診所。

 

 

                                                                                              【Rhysida 受害者按行業分佈圖】

 

Check Point 事件研究小組(CPIRT)，認為該勒索軟體與另一個勒索組織 Vice Society的 TTP 有許多共同點,自2021年以來

Vice Society 一直是最活耀、最具攻擊性的勒索集團之一，主要關注醫療保健和教育行業。

 

                                                                                        【Rhysida 和 Vice Society 活動變化比較】

 

雖然一些勒索軟體聲稱不會故意針對醫療機構，甚至在錯誤操作的情況下提供免費解密密鑰，但Rhysida並未遵循相同政策，在暗網數據洩漏網站列出了

澳大利亞一家醫療機構的機敏資訊，再數據被洩漏之前給他們一週的時間支付贖金。

 

                                                                                      【Rhysida 暗網數據洩露網站】

 

此外，Check Point 研究的主題有幾點，像是橫向移動、憑證訪問、防禦規避、命令與控制，為了進行橫向移動，犯罪組織採用了一系列技術，包括 :

•  遠端桌面協議(RDP) - 在整個入侵過程中，犯罪組織啟動了RDP連接，並採取進一步措施刪除相關日誌和註冊表單，以強化檢測和分析嘗試。

• 遠端 PowerShell會話(WinRM) - 發現 犯罪組織在通過RDP進行遠端連接的同時啟動與環境內部系統的遠端PowerShell連接。

• PsExec - 勒索軟體負載是使用PsExec從環境中的伺服器分發的。

     

 

值得注意的是，為取得憑據，犯罪組織利用ntdsutil.exe 在 temp_l0gs 文件夾下構建 NTDS.dit 的備分

此外還辨認了網域管理員帳號並嘗試使用其中一些帳戶進行登入，為了持久性，犯罪組織使用了各種後門和技術，包刮SystemBC 和 AnyDesk。

並且定期刪除日誌和蒐證工作，包括刪除最近使用的文件和目錄相關歷史紀錄、執行的程序列表、最近路徑紀錄 PowerShell控制台歷史文件

以及當前用戶的所有文件夾層 。

 

 

總之，Rhysida 很快就在勒索軟體領域站穩腳步，針對各部門的組織毫不猶豫地攻擊醫院，儘管Rans 在營運方面似乎進展太快，而技術方面卻停滯

但這方面的發明表明looker正在努力追趕。

 

參考資料:

https://gbhackers.com/rhysida-ransomware-tools/amp/

https://www.bleepingcomputer.com/news/security/rhysida-ransomware-behind-recent-attacks-on-healthcare/