网络安全通告警告新兴勒索病毒变种Rhysida

最新网络安全通告已警告新兴勒索病毒变种Rhysida构成的威胁。该通告由网络安全和基础设施安全局（CISA）、联邦调查局（FBI）和多州信息共享与分析中心（MS-ISAC）联合发布，传播了已知的Rhysida勒索病毒运营者的入侵指标（IOCs）和战术、技术与程序（TTPs）。它还概述了组织应采取哪些缓解措施来降低Rhysida的可能性和影响。该指南基于截至2023年9月进行的调查。

Rhysida针对教育、医疗保健和政府等“机会型”受害者

通告指出，Rhysida被视为勒索软件即服务（RaaS）模式，其攻击者已入侵教育、制造业、信息技术和政府部门的组织。支付的任何赎金在该组织和附属机构之间分配。通告补充说，Rhysida攻击者利用面向外部的远程服务（如虚拟专用网络（VPN））、Zerologon漏洞（CVE-2020-1472）和网络钓鱼活动来获得初始访问权限并在网络内保持持久性。

根据通告，Rhysida攻击者已重新利用的合法工具包括cmd.exe、PowerShell.exe、PuTTY.exe和PowerView。通告补充说：“鼓励组织在执行修复行动之前调查和审查这些工具的使用。”

Rhysida勒索病毒组织以双重勒索闻名

在映射网络后，该勒索病毒使用ChaCha20算法和4096位RSA加密密钥对数据进行加密。Rhysida攻击者随后 known to engage in “double extortion” – 要求支付赎金以解密受害者数据，并威胁除非支付赎金，否则将发布敏感的外泄数据。“Rhysida攻击者指示受害者将赎金支付到威胁攻击者提供的比特币加密货币钱包地址。Rhysida勒索病毒会投放一个名为‘CriticalBreachDetected’的勒索笔记作为PDF文件 – 该笔记为每家公司提供唯一代码和通过Tor门户联系该组织的说明。”

根据通告，勒索笔记的内容以纯文本形式嵌入勒索二进制文件中，为网络防御者提供了部署基于字符串的检测以警报勒索笔记证据的机会。“Rhysida威胁攻击者可能针对不使用命令行操作系统的系统。PDF勒索笔记的格式可能表明Rhysida攻击者仅针对能够处理PDF文档的系统。”

已知的Rhysida IoCs包括用于服务或受害者通信的Onion Mail电子邮件账户rhysidaeverywhere@onionmail[.]org和rhysidaofficial@onionmail[.]org。

如何缓解Rhysida勒索病毒带来的威胁

根据通告，组织应实施以下缓解措施以降低成为Rhysida勒索病毒受害者的风险并改善整体安全状况：

• 尽可能要求所有服务使用抗网络钓鱼的多因素认证（MFA）
• 禁用命令行和脚本活动及权限
• 在流程内实施详细和增强的日志记录
• 限制PowerShell的使用
• 将Windows PowerShell或PowerShell Core更新到最新版本
• 启用增强的PowerShell日志记录
• 将远程桌面协议（RDP）和其他远程桌面服务的使用限制为已知用户账户和组
• 保持所有操作系统、软件和固件为最新状态
• 使用网络监控工具识别、检测和调查异常活动及指示勒索病毒的潜在遍历
• 为管理员级别及更高级别的账户实施基于时间的访问
• 维护数据的离线备份
• 确保所有备份数据已加密且不可变