リシダ
Rhysidaは2023年5月に出現したRansomware-as-a-Service(RaaS)グループで、医療や教育などのセクターを標的とした二重の恐喝攻撃で知られ、悪名高いランサムウェアグループVice Societyとのつながりがある。
リシダの由来
Rhysidaランサムウェアは2023年5月に初めて観測され、瞬く間に著名なRansomware-as-a-Service(RaaS)グループとしての地位を確立した。Rhysidaはクリティカルなセクターを標的とすることで知られ、チリ軍や米国の17の病院と166の診療所に影響を与えたProspect Medical Holdingsといった主要機関に対する攻撃と関連している。このグループは「サイバーセキュリティ・チーム」を自称する一方で、データを暗号化し、身代金を支払わない限りデータを公開すると脅すという二重の恐喝を行っている。RhysidaとVice Societyランサムウェア・グループの間には、技術的・操作的な類似性が見られることから、関連性が高まっている。
彼らの名前 "Rhysida "はムカデの一種に由来し、サイバー攻撃に対する彼らのステルスで多脚のアプローチを象徴している。
画像ソース CISA
攻撃方法
リシーダの攻撃方法
Rhysidaの行為者は、漏洩した認証情報またはphishing 、多要素認証(MFA)なしでVPNなどの外部向けサービスを使用してアクセスします。Zerologon 脆弱性(CVE-2020-1472)などのエクスプロイトも使用されています。
攻撃者は、以下のようなツールを使って特権をエスカレートさせる。 ntdsutil.exe を使用してドメイン認証情報を抽出している。ドメイン全体のパスワードを変更するために、NTDSデータベースを標的にしていることが確認されている。
RhysidaはPowerShellとPsExecを頻繁に使用して、イベントログを消去し、最近アクセスされたファイルやフォルダ、RDPログ、PowerShellの履歴などのフォレンジックアーティファクトを削除します。
このグループは、次のようなクレデンシャル・ダンピング・ツールを使用している。 秘密ダンプ を使用して、侵害されたシステムから認証情報を引き出します。これらの認証情報により、攻撃者は特権をエスカレートさせ、ネットワーク内の制御をさらに強化することができる。
Rhysidaのオペレーターは、次のようなネイティブツールを使用します。 アイピーコンフィグ, ホワミそして ネット 被害者の環境内で偵察を行うコマンド。
RDPやPuTTY経由のSSHなどのリモートサービスは、横方向の移動に使用されます。最終的なランサムウェアのペイロードの配布には、PsExec が頻繁に導入されます。
ランサムウェアのペイロードを実行する前に、攻撃者は重要なデータを収集し、二重の恐喝戦略の一環として暗号化または流出の準備をする。
RhysidaのペイロードはPsExecを使用して展開され、データは4096ビットのRSA暗号化アルゴリズムとChaCha20暗号化アルゴリズムを使用して暗号化される。また リシダ 拡張子はすべての暗号化されたファイルに追加される。
このグループは二重の恐喝を行い、身代金を支払わなければ機密データを流出させ、公開すると脅している。
Rhysidaの作戦は通常、深刻な混乱、データの暗号化、ビットコイン支払いの要求で最高潮に達し、その額はしばしば数百万ドルにのぼる。
初期アクセス
Rhysidaの行為者は、漏洩した認証情報またはphishing 、多要素認証(MFA)なしでVPNなどの外部向けサービスを使用してアクセスします。Zerologon 脆弱性(CVE-2020-1472)などのエクスプロイトも使用されています。
特権エスカレーション
攻撃者は、以下のようなツールを使って特権をエスカレートさせる。 ntdsutil.exe を使用してドメイン認証情報を抽出している。ドメイン全体のパスワードを変更するために、NTDSデータベースを標的にしていることが確認されている。
防御回避
RhysidaはPowerShellとPsExecを頻繁に使用して、イベントログを消去し、最近アクセスされたファイルやフォルダ、RDPログ、PowerShellの履歴などのフォレンジックアーティファクトを削除します。
クレデンシャル・アクセス
このグループは、次のようなクレデンシャル・ダンピング・ツールを使用している。 秘密ダンプ を使用して、侵害されたシステムから認証情報を引き出します。これらの認証情報により、攻撃者は特権をエスカレートさせ、ネットワーク内の制御をさらに強化することができる。
ディスカバリー
Rhysidaのオペレーターは、次のようなネイティブツールを使用します。 アイピーコンフィグ, ホワミそして ネット 被害者の環境内で偵察を行うコマンド。
横の動き
RDPやPuTTY経由のSSHなどのリモートサービスは、横方向の移動に使用されます。最終的なランサムウェアのペイロードの配布には、PsExec が頻繁に導入されます。
コレクション
ランサムウェアのペイロードを実行する前に、攻撃者は重要なデータを収集し、二重の恐喝戦略の一環として暗号化または流出の準備をする。
実行
RhysidaのペイロードはPsExecを使用して展開され、データは4096ビットのRSA暗号化アルゴリズムとChaCha20暗号化アルゴリズムを使用して暗号化される。また リシダ 拡張子はすべての暗号化されたファイルに追加される。
データ流出
このグループは二重の恐喝を行い、身代金を支払わなければ機密データを流出させ、公開すると脅している。
インパクト
Rhysidaの作戦は通常、深刻な混乱、データの暗号化、ビットコイン支払いの要求で最高潮に達し、その額はしばしば数百万ドルにのぼる。
MITRE ATT&CK マッピング
リシダが使用したTTP
TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
No items found.
TA0005: Defense Evasion
T1070
Indicator Removal
TA0006: Credential Access
T1528
Steal Application Access Token
T1003
OS Credential Dumping
TA0007: Discovery
No items found.
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
No items found.
TA0011: Command and Control
No items found.
TA0010: Exfiltration
No items found.
TA0040: Impact
T1657
Financial Theft
プラットフォーム検出
Vectra AIを使った検知 リシダの方法
ランサムウェア攻撃を示すVectra AI Platform で利用可能な検出のリスト。
よくあるご質問(FAQ)
Rhysidaランサムウェアとは?
Rhysidaは、二重の恐喝を利用してデータを暗号化・流出させるRansomware-as-a-Serviceグループで、医療や教育などの分野を標的としている。
リシダが最初に出現したのはいつですか?
このグループは2023年5月に初めて観測された。
リシダはどのような業界をターゲットにしているのか?
主に教育、医療、製造、政府、IT部門を対象としている。
リシダの影響を受けている国は?
グループはアメリカ、イギリス、イタリア、スペインで最も活発に活動している。
リシダはどのようにしてネットワークにアクセスするのか?
リシダ・アクターは、phishing 、外部向けサービスの脆弱性を悪用してアクセスし、多くの場合、脆弱な認証情報や盗まれた認証情報を活用します。
ライシダはどのような暗号化方式を採用していますか?
このグループは4096ビットのRSAとChaCha20暗号化アルゴリズムを使って被害者のデータをロックしている。
リシダとバイス・ソサエティにはつながりがあるのですか?
リシダとバイス・ソサエティのTTPには顕著な類似点があり、作戦が重複している可能性を示唆している。
組織はどのようにしてリシダから身を守ることができるのか?
組織はMFAを導入し、既知の脆弱性にパッチを当て、堅牢なバックアップとリカバリ・システムを確保すべきである。
リシダはどうやって発見を回避しているのか?
このグループは、イベントログの消去、アーティファクトの削除、PowerShellを使ったアクティビティの隠蔽などのテクニックを使う。
リシダの攻撃後、どのような措置を取るべきか?
組織は、影響を受けたシステムを隔離し、フォレンジック証拠を保全し、法執行機関にインシデントを報告し、可能であれば身代金の支払いを避けるべきである。また、NDRやネットワーク・セグメンテーションなどの強固なセキュリティ対策を実施することも推奨される。