Das steckt hinter der Ransomware Rhysida
Die Ransomware Rhysida verbreitet sich unter anderem mit Hilfe von legitimen Scripting und Fernzugriffstools. Die Gruppierung hinter der Malware scheint laut einer Analyse von Check Point mit einer älteren Gruppierung namens Vice society verbandelt zu sein.
Seit Frühling 2023 treibt eine Ransomware namens Rhysida ihr Unwesen. Die Schadsoftware wurde erstmals im Mai 2023 entdeckt, wie Check Point schreibt. Der Cybersecurity-Anbieter erklärt in seiner Analyse, wie die Ransomware arbeitet und wer dahinter stehen könnte.
Um ein Netzwerk anzugreifen und sich darin auszubreiten, nutzt Rhysida nicht nur Sicherheitslücken aus. Die Malware setzt teilweise auch legitime Tools ein. Als Beispiel nennt Check Point etwa das zur Fernwartung verwendete Programm AnyDesk oder die im windows-Betriebssystem enthaltene Power Shell, die Programmskripte ausführt. Wie das Cybersecurity-Unternehmen anmerkt, handelt es sich dabei jedoch nicht um eine besondere Eigenschaft der Rhysida-Malware – im Gegenteil: "Grosse Teile der von uns beobachteten Aktivitäten hätten von jeder Ransomware-Gruppe für die Verbreitung beliebiger Ransomware-Teile verwendet werden können", heisst es im Bericht. Entsprechend wichtig sei es darum, nicht nur die Funktionsweise einer Ransomware-Workload zu verstehen, sondern auch den gesamten Prozess, der zu ihrer Verbreitung führe.
Bezüglich der Bande hinter Rhysida vermutet Check Point einen Zusammenhang zu einer älteren Gruppierung namens Vice Society, die wiederum mit Russland in Verbindung gebracht wird. Das Unternehmen belegt die auch andernorts geäusserte These etwa mit Hinweisen auf die von Rhysida genutzten Techniken. Viele davon setzte auch Vice Society ein - und zwar oft auf die gleiche Weise. In beiden Fällen werden etwa vor dem Verteilen der Ransomware auf der gesamten angegriffenen Domäne die Passwörter geändert.
Zudem lasse sich auch feststellen, dass seit dem Auftauchen von Rhysida die Aktivitäten der ursprünglichen Vice-Society-Gruppe stark zurückgegangen seien, merkt Check Point weiter an. Tatsächlich habe Vice Society seit Ende Juni 2023 im Darknet keine neuen gestohlenen Daten veröffentlicht.
Schliesslich ähnelten sich auch die von den beiden Ransomwaregruppen avisierten Ziele: Laut Check Point greifen sowohl Vice Society als auch Rhysida insbesondere Gesundheits- und Bildungseinrichtungen an.
Unter den mutmasslichen Opfern von Vice Society sind auch Schweizer Organisationen. Experten vermuteten die Gruppierung etwa hinter dem Angriff auf die Gemeinde Rolle im Sommer 2021. Auch für den Cyberangriff auf die Uni Zürich Anfang 2023 könnte laut dem IT-Sicherheitsexperten Marc Ruef die Gruppierung stecken.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.