Decryptor für Rhysida Ransomware lässt Opfer hoffen

Table of Contents

Opfer des Ransomaware as a Service (RaaS) Providers Rhysida können auf Entschlüsselung Ihrer Daten hoffen. Einer südkoreanischen Forschergruppe ist eine Programmierschwachstelle in der Ransomware aufgefallen, über die sich die Daten wiederherstellen lassen.

Was ist Rhysida Ransomware?

Rhysida Ransomware ist eine neuartige Bedrohung, die erstmals im Mai 2023 erkannt wurde und seither fast 50 Organisationen weltweit infiziert hat. Diese Ransomware-Gruppe, die das Ransomware-as-a-Service (RaaS) Geschäftsmodell nutzt, mietet oder verkauft ihre Ransomware-Lasten an andere Bedrohungsakteure. Rhysida ist dafür bekannt, sensible Daten ihrer Opfer zu exfiltrieren und doppelte Erpressungsmethoden anzuwenden, indem sie mit der Veröffentlichung der gestohlenen Daten drohen, falls das Opfer das Lösegeld nicht zahlt. Die Bedrohungsakteure hinter Rhysida sind finanziell motiviert und zielen auf Sektoren wie Regierung, Gesundheitswesen, Bildung, Fertigung und Technologie ab. Die Opfer von Rhysida befinden sich in Regionen wie dem Nahen Osten, Lateinamerika und Europa​​.

Die Bedrohungsakteure nutzen für den initialen Zugriff häufig Phishing-Angriffe. Nachdem ein Benutzer mit der Phishing-E-Mail interagiert, wird ein Cobalt Strike Beacon auf ihrem System eingesetzt, um Persistenz zu etablieren und weitere Malware für laterale Bewegungen und Datenexfiltrationsangriffe von einem vom Angreifer kontrollierten Command-and-Control (C2)-Server zu übertragen. Während des Angriffs löschen die Rhysida-Operatoren Artefakte oder Protokolldaten, um die Reaktionsbemühungen auf Vorfälle zu behindern. Nach einem erfolgreichen Kompromiss setzen die Bedrohungsakteure die Rhysida-Ransomware-Last und verschlüsseln die sensiblen Ordner und Dateien des Opfers​​.

Zu den von Rhysida verwendeten Techniken gehören das Erlangen von gültigen Konten über Initial Access Brokers (IABs) für den Zugriff auf das Netzwerk des Opfers, der Einsatz von Phishing für den initialen Zugriff, die Nutzung von PowerShell für die Ausführung von Befehlen, die Einrichtung von Persistenz durch geplante Aufgaben, die Umgehung der Verteidigung durch Löschung von Indikatoren und die Modifikation von Registrierungsschlüsseln. Rhysida nutzt auch Remote-Dienste wie RDP für laterale Bewegungen und exfiltriert sensible Daten der Opfer über C2-Kanäle, bevor sie verschlüsselt werden. Die Datenverschlüsselung erfolgt mit einer Kombination aus RSA und ChaCha20-Algorithmen, wobei verschlüsselte Dateien die Erweiterung .rhysida erhalten​​.

Die Analyse von Rhysida zeigt, dass die Ransomware legitime Tools für ihre Operationen zweckentfremdet, darunter cmd.exe, PowerShell.exe, PsExec.exe für laterale Bewegungen und Fernausführungen, sowie verschiedene andere Tools für den Zugriff auf Fernbedienungen und die Datenextraktion. Rhysida führt zu einer Verschlüsselung der Daten mittels eines 4096-Bit RSA-Schlüssels mit dem ChaCha20-Algorithmus und modifiziert alle verschlüsselten Dateien, um ihnen die Erweiterung .rhysida hinzuzufügen

So gelingt die Datenrettung nach Rhysida Infektion

Eine südkoreanische Forschergruppe berichtete Anfang Februar 2024, dass es Ihnen gelang, eine Schwachstelle in der Programmierung der Ransomware auszunutzen, um die Daten wiederherzustellen.

Das Decrypter Tool steht seitdem kostenlos unter diesem Link zur Verfügung.

Wenn Sie von einer Rhysida-Ransomware-Attacke betroffen sind, ist es wichtig, professionelle Hilfe in Anspruch zu nehmen und nicht direkt mit den Angreifern zu verhandeln, da dies die Situation verschlimmern kann. Unsere Experten können den Schaden bewerten und die besten Schritte zur Wiederherstellung Ihrer Dateien empfehlen.

Tags :

Related Posts

Microsoft 365 Konten von Führungskräften im Ziel von Hackern

Eine seit November 2023 laufende Kampagne zur Kontoübernahme bei Microsoft Azure, richtet sich gegen Führungskräfte,. Diese Kampagne hat erfolgreich Hunderte von Benutzerkonten in zahlreichen Microsoft Azure-Umgebungen kompromittiert, einschließlich derer von leitenden Führungskräften.

Read More

SonicWall SonicOS: Sicherheitslücke in SSL-VPN jetzt patchen

CVE-2024-22394 bezieht sich auf eine kritische Sicherheitslücke in der Authentifizierungskomponente des SonicWall SonicOS SSL-VPN, die in der Firmware-Version SonicOS 7.1.1-7040 gefunden wurde. Diese Schwachstelle ermöglicht es einem entfernten, nicht authentifizierten Angreifer, die Authentifizierungsmechanismen zu umgehen und unautorisierten Zugriff auf das betroffene System zu erlangen.

Read More

Kritische PostgreSQL Schwachstelle in den Versionen 12 - 15 gefunden

Die im Februar 2024 entdeckte Schwachstelle CVE-2024-0985 betrifft PostgreSQL und resultiert aus einem Fehler in der Implementierung des Befehls REFRESH MATERIALIZED VIEW CONCURRENTLY.

Read More