Cyberthreat.id - Kesamaan taktis telah digali antara kelompok ransomware pemerasan ganda yang dikenal sebagai Rhysida dan Vice Society, termasuk dalam menargetkan sektor pendidikan dan kesehatan.

"Ketika Vice Society diamati menyebarkan berbagai muatan ransomware komoditas, tautan ini tidak menunjukkan bahwa Rhysida digunakan secara eksklusif oleh Vice Society, tetapi menunjukkan setidaknya dengan keyakinan sedang bahwa operator Vice Society sekarang menggunakan ransomware Rhysida," kata Check Point dalam laporan baru sebagaimana dikutip The Hacker News.

Vice Society, dilacak oleh Microsoft dengan nama Storm-0832, memiliki pola menggunakan binari ransomware yang sudah ada yang dijual di forum kriminal untuk melakukan serangan mereka.

Geng yang bermotivasi finansial juga telah diamati menggunakan serangan murni bertema pemerasan di mana data diekstraksi tanpa mengenkripsinya.

Pertama kali diamati pada Mei 2023, grup ransomware Rhysida diketahui mengandalkan serangan phishing dan Cobalt Strike untuk menembus jaringan target dan menyebarkan muatan mereka.

Mayoritas korbannya berbasis di AS, Inggris, Italia, Spanyol, dan Austria.

Cisco Talos mengatakan ransomware dijatuhkan sebagai muatan sekunder dari kerangka kerja perintah-dan-kontrol, yang biasanya dikirimkan sebagai bagian dari malware komoditas tradisional.

"Grup itu sendiri suka berpura-pura menjadi organisasi keamanan siber," kata perusahaan itu.

"Mereka mengklaim telah berkompromi dengan perusahaan dan bersedia membantu menyelesaikan masalah tersebut."

Gerakan lateral difasilitasi menggunakan protokol desktop jarak jauh (RDP) dan sesi PowerShell jarak jauh, sedangkan muatan ransomware disebarkan menggunakan PsExec.

Command-and-control dicapai melalui pintu belakang seperti SystemBC dan alat manajemen jarak jauh seperti AnyDesk.

Rantai serangan juga terkenal karena secara konsisten menghapus log dan artefak forensik untuk menutupi jejak mereka dan memulai perubahan kata sandi di seluruh domain untuk menghambat upaya perbaikan.

Laporan Trend Micro tentang Rhysida juga menyoroti skrip PowerShell yang dijuluki SILENTKILL yang digunakan oleh pelaku ancaman untuk menghentikan proses dan layanan terkait antivirus, menghapus salinan bayangan, mengubah konfigurasi protokol desktop jarak jauh (RDP), dan mengubah direktori aktif (AD) kata sandi.

"Mereka terutama menyerang sektor pendidikan, pemerintah, manufaktur, dan teknologi serta penyedia layanan terkelola; namun, ada serangan baru-baru ini terhadap sektor Perawatan Kesehatan dan Kesehatan Masyarakat (HPH)," Koordinasi Keamanan Siber Sektor Kesehatan Departemen Kesehatan dan Layanan Kemanusiaan A.S. Center mengatakan dalam peringatan minggu lalu.

Temuan terbaru dari perusahaan cybersecurity Israel telah mengungkapkan "korelasi yang jelas" antara kemunculan Rhysida dan hilangnya Vice Society.

Ini terdiri dari penggunaan NTDSUtil, pembuatan aturan firewall lokal untuk mengaktifkan komunikasi C2 melalui SystemBC, dan pemanfaatan alat komoditas yang disebut PortStarter, yang telah ditautkan hampir secara eksklusif ke Vice Society.

"Sejak Rhysida pertama kali muncul, Vice Society hanya menerbitkan dua korban," kata Check Point. "Kemungkinan itu dilakukan lebih awal dan baru dipublikasikan pada bulan Juni. Aktor Vice Society berhenti memposting di situs bocoran mereka sejak 21 Juni 2023."

Indikator utama lainnya adalah kesamaan dalam jejak viktimologi mereka. Baik Rhysida dan Vice Society secara tidak proporsional menargetkan vertikal pendidikan, masing-masing menyumbang 32% dan 35% dari keseluruhan distribusi.

"Analisis kami terhadap intrusi ransomware Rhysida mengungkapkan hubungan yang jelas antara grup dan Vice Society yang terkenal, tetapi juga mengungkapkan kebenaran yang suram - TTP aktor ransomware yang produktif sebagian besar tetap tidak berubah," kata perusahaan itu.

"Dari penggunaan alat manajemen jarak jauh seperti AnyDesk hingga penyebaran ransomware melalui PsExec, pelaku ancaman memanfaatkan berbagai alat untuk memfasilitasi serangan tersebut."

Pengungkapan itu muncul ketika Sophos mengidentifikasi karakteristik serupa yang "anehnya" di antara serangkaian serangan ransomware yang terkait dengan Hive, Royal, Black Basta, dan Cactus, menggambarkan mereka sebagai bagian dari "cluster aktivitas ancaman" yang dapat digunakan pembela HAM untuk mempercepat deteksi dan membatasi kerusakan.[]