Opfer des Ransomaware as a Service (RaaS) Providers Rhysida können auf Entschlüsselung Ihrer Daten hoffen. Einer südkoreanischen Forschergruppe ist eine Programmierschwachstelle in der Ransomware aufgefallen, über die sich die Daten wiederherstellen lassen.
Was ist Rhysida Ransomware?
Rhysida Ransomware ist eine neuartige Bedrohung, die erstmals im Mai 2023 erkannt wurde und seither fast 50 Organisationen weltweit infiziert hat. Diese Ransomware-Gruppe, die das Ransomware-as-a-Service (RaaS) Geschäftsmodell nutzt, mietet oder verkauft ihre Ransomware-Lasten an andere Bedrohungsakteure. Rhysida ist dafür bekannt, sensible Daten ihrer Opfer zu exfiltrieren und doppelte Erpressungsmethoden anzuwenden, indem sie mit der Veröffentlichung der gestohlenen Daten drohen, falls das Opfer das Lösegeld nicht zahlt. Die Bedrohungsakteure hinter Rhysida sind finanziell motiviert und zielen auf Sektoren wie Regierung, Gesundheitswesen, Bildung, Fertigung und Technologie ab. Die Opfer von Rhysida befinden sich in Regionen wie dem Nahen Osten, Lateinamerika und Europa.
Die Bedrohungsakteure nutzen für den initialen Zugriff häufig Phishing-Angriffe. Nachdem ein Benutzer mit der Phishing-E-Mail interagiert, wird ein Cobalt Strike Beacon auf ihrem System eingesetzt, um Persistenz zu etablieren und weitere Malware für laterale Bewegungen und Datenexfiltrationsangriffe von einem vom Angreifer kontrollierten Command-and-Control (C2)-Server zu übertragen. Während des Angriffs löschen die Rhysida-Operatoren Artefakte oder Protokolldaten, um die Reaktionsbemühungen auf Vorfälle zu behindern. Nach einem erfolgreichen Kompromiss setzen die Bedrohungsakteure die Rhysida-Ransomware-Last und verschlüsseln die sensiblen Ordner und Dateien des Opfers.
Zu den von Rhysida verwendeten Techniken gehören das Erlangen von gültigen Konten über Initial Access Brokers (IABs) für den Zugriff auf das Netzwerk des Opfers, der Einsatz von Phishing für den initialen Zugriff, die Nutzung von PowerShell für die Ausführung von Befehlen, die Einrichtung von Persistenz durch geplante Aufgaben, die Umgehung der Verteidigung durch Löschung von Indikatoren und die Modifikation von Registrierungsschlüsseln. Rhysida nutzt auch Remote-Dienste wie RDP für laterale Bewegungen und exfiltriert sensible Daten der Opfer über C2-Kanäle, bevor sie verschlüsselt werden. Die Datenverschlüsselung erfolgt mit einer Kombination aus RSA und ChaCha20-Algorithmen, wobei verschlüsselte Dateien die Erweiterung .rhysida erhalten.
Die Analyse von Rhysida zeigt, dass die Ransomware legitime Tools für ihre Operationen zweckentfremdet, darunter cmd.exe, PowerShell.exe, PsExec.exe für laterale Bewegungen und Fernausführungen, sowie verschiedene andere Tools für den Zugriff auf Fernbedienungen und die Datenextraktion. Rhysida führt zu einer Verschlüsselung der Daten mittels eines 4096-Bit RSA-Schlüssels mit dem ChaCha20-Algorithmus und modifiziert alle verschlüsselten Dateien, um ihnen die Erweiterung .rhysida hinzuzufügen
So gelingt die Datenrettung nach Rhysida Infektion
Eine südkoreanische Forschergruppe berichtete Anfang Februar 2024, dass es Ihnen gelang, eine Schwachstelle in der Programmierung der Ransomware auszunutzen, um die Daten wiederherzustellen.
Das Decrypter Tool steht seitdem kostenlos unter diesem Link zur Verfügung.
Wenn Sie von einer Rhysida-Ransomware-Attacke betroffen sind, ist es wichtig, professionelle Hilfe in Anspruch zu nehmen und nicht direkt mit den Angreifern zu verhandeln, da dies die Situation verschlimmern kann. Unsere Experten können den Schaden bewerten und die besten Schritte zur Wiederherstellung Ihrer Dateien empfehlen.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: