ФБР и Агентство кибер и инфраструктурной безопасности США предупредили о целенаправленных атаках группы, использующей вирус-вымогатель Rhysida.

Эта группа, впервые обнаруженная в мае 2023 года, быстро обрела известность после взлома Чилийской армии и публикации украденных данных в интернете.

Недавно Министерство здравоохранения и социальных служб США также предупредило, что группа Rhysida стоит за недавними атаками на медицинские организации.

Вирус, работающий по модели «вымогательство как услуга» (RaaS), замечен в компрометации организаций в сферах образования, производства, информационных технологий и государственного управления.

Выплаченные выкупы распределяются между группой и её аффилированными лицами.

Атакующие используют украденные учетные данные для взлома внешних удаленных сервисов, таких как VPN, позволяя получить первоначальный доступ и поддерживать присутствие в сетях жертв.

Это становится возможным, когда организации не используют многофакторную аутентификацию (MFA) по умолчанию в своих сетях.

ФБР и CISA предостерегают, что аффилированные лица группы Vice Society, отслеживаемые Microsoft как Vanilla Tempest или DEV-0832, перешли к использованию вируса Rhysida в своих атаках.

Исследования компаний Sophos, Check Point Research и PRODAFT отмечают этот переход, произошедший примерно в июле 2023 года, вскоре после того, как Rhysida начала добавлять жертв на свой сайт утечек данных.

Источник: Ferra