Des similitudes tactiques ont été découvertes entre le groupe de rançongiciels à double extorsion connu sous le nom de Rhysida et Vice-sociétéy compris dans leur ciblage des secteurs de l’éducation et de la santé.
« Comme Vice Society a été observé en train de déployer une variété de charges utiles de ransomwares de base, ce lien ne suggère pas que Rhysida est exclusivement utilisé par Vice Society, mais montre avec une confiance au moins moyenne que les opérateurs de Vice Society utilisent maintenant Rhysida ransomware », a déclaré Check Point dans un nouveau rapport.
Vice Society, suivi par Microsoft sous le nom de Storm-0832, a pour habitude d’utiliser des binaires de rançongiciels déjà existants qui sont vendus sur des forums criminels pour réussir leurs attaques. Le gang à motivation financière a également été observé en train de recourir à des attaques sur le thème de l’extorsion pure dans lesquelles les données sont exfiltrées sans les crypter.
Observé pour la première fois en mai 2023, le groupe de rançongiciels Rhysida est connu pour s’appuyer sur les attaques de phishing et Cobalt Strike pour violer les réseaux des cibles et déployer leurs charges utiles. La majorité de ses victimes sont basées aux États-Unis, au Royaume-Uni, en Italie, en Espagne et en Autriche.
Le mouvement latéral est facilité à l’aide du protocole de bureau à distance (RDP) et des sessions PowerShell à distance, tandis que la charge utile du ransomware est déployée à l’aide de PsExec. La commande et le contrôle sont réalisés au moyen de portes dérobées telles que SystemBC et d’outils de gestion à distance tels que AnyDesk.
Les chaînes d’attaque sont également remarquables pour effacer systématiquement les journaux et les artefacts médico-légaux pour couvrir leur trace et lancer un changement de mot de passe à l’échelle du domaine pour inhiber les efforts de correction.
« Ils attaquent principalement les secteurs de l’éducation, du gouvernement, de la fabrication, de la technologie et des fournisseurs de services gérés ; cependant, il y a eu des attaques récentes contre le secteur de la santé et de la santé publique (HPH) », a déclaré la coordination de la cybersécurité du secteur de la santé du ministère américain de la Santé et des Services sociaux. Center a déclaré dans une alerte la semaine dernière.
Les dernières découvertes de la société israélienne de cybersécurité ont révélé une « corrélation claire » entre l’émergence de Rhysida et la disparition de Vice Society.
Cela comprend l’utilisation de NTDSUtil, la création de règles de pare-feu locales pour permettre les communications C2 via SystemBC et l’utilisation d’un outil de base appelé PortStarter, qui a été lié presque exclusivement à Vice Society.
« Depuis la première apparition de Rhysida, Vice Society n’a publié que deux victimes », a déclaré Check Point. « Il est probable que ceux-ci aient été joués plus tôt et n’aient été publiés qu’en juin. Les acteurs de la Vice Society ont cessé de publier sur leur site de fuite depuis le 21 juin 2023. »
L’autre indicateur majeur est la similitude de leurs empreintes de victimologie. Rhysida et Vice Society ont tous deux ciblé de manière disproportionnée le secteur de l’éducation, représentant respectivement 32 % et 35 % de la distribution globale.
« Notre analyse des intrusions du ransomware Rhysida révèle des liens clairs entre le groupe et la tristement célèbre Vice Society, mais elle révèle également une sombre vérité : les TTP des acteurs prolifiques du ransomware restent largement inchangés », a déclaré la société.
« De l’utilisation d’outils de gestion à distance tels qu’AnyDesk au déploiement de rançongiciels via PsExec, les auteurs de menaces exploitent une variété d’outils pour faciliter de telles attaques. »
La divulgation intervient alors que Sophos a identifié « curieusement » des caractéristiques similaires parmi un ensemble d’attaques de ransomwares associées à Hive, Royal, Black Basta et Cactus, les décrivant comme faisant partie d’un « groupe d’activités de menace » que les défenseurs peuvent utiliser pour accélérer la détection et limiter dommage.
