10月28日,大英图书馆受到黑客攻击,技术设施出现异常情况,图书馆经历了“重大的技术中断”,网站、在线服务系统和部分线下服务均受到影响,图书馆的公共wifi也已被禁用。Rhysida组织声称对此次网络攻击负责。
截止到本文发稿,Rhysida组织已公开出售了90%的大英图书馆数据。
Rhysida发布大英图书馆数据出售公告(“已撕票”)
已有多家机构发布声明
遭受Rhysida组织勒索攻击
Rhysida发布智利陆军数据出售公告(“已撕票”)
5月29日,智利网络安全公司CronUp发布声明表示智利军队系统在5月27日受到网络安全事件中影响。Rhysida勒索组织将盗取的数据列入网站的泄露名单,嚣张的表示挂网的数据仅占到窃取数据的1/3。 Rhysida发布科威特财政部数据出售公告(“已撕票”)
9月18日,科威特财政部遭遇勒索软件攻击,政府官员关闭了受影响的系统,以防止威胁蔓延。Rhysida组织声称对此次攻击负责,并将该部门添加到其Tor泄露网站的受害者名单中。
斯洛文尼亚信息安全中心主任与HSE总经理联合发布声明
11月22日,斯洛文尼亚最大电力公司Holding Slovenske Elektrarne(HSE)遭受Rhysida勒索攻击。27日,国家信息安全中心主任与HSE总经理联合发表声明:情况已得到控制,预计不会造成运营中断或重大经济损失。同时也强调,就此次攻击得出最终结论还为时过早。此次勒索攻击是斯洛文尼亚历史上最严重的网络攻击事件之一,除了网络安全专家之外,国家情报机构SOVA以及国防部的安全情报部门也在调查该事件的背景。Rhysida发布HSE数据的拍卖公告
Rhysida是新兴勒索组织,
近期勒索攻击极为猖獗
Rhysida勒索组织自2023年5月开始出现,采取勒索软件即服务(RaaS)的模式运营,主要攻击对象为教育、政府、制造业等行业。相较于其他勒索组织,Rhysida组织勒索信采用了一种不同寻常的方式,它将自己伪装成“网络安全团队”,为受害者的公司提供帮助,并声称其敏感数据已从受感染的网络中被盗,可以利用“网络安全团队”开发的唯一密钥来恢复该公司的安全。然而,实际上这就是指只有勒索组织才拥有解锁加密文件所需的解密密钥。Rhysida组织勒索信内容
威胁情报公司SOCRadar监测显示,Rhysida勒索组织的受害者中,以美国、英国、西班牙、意大利为主。 ——来源于SOCRadar
自今年5月以来,Rhysida勒索组织已经在其泄露网站上公布了超过60+企业的数据,一直处于活跃状态。Rhysida组织在其Tor网站上公布被勒索机构信息
Rhysida勒索组织的典型攻击过程
Rhysida勒索软件通常通过网络钓鱼诱饵或RDP方式访问用户系统,入侵成功后会使用PowerShell执行命令,关闭系统中的安全防护机制,并擦除卷影副本备份以防止数据恢复。
1.在读取文件内容使用对称算法AES进行加密,然后它将使用伪随机数生成器(PRNG)来生成每个文件唯一的解密密钥。2.然后对生成的解密密钥使用非对称算法RSA进行加密,加密成功后,Rhysida将继续加密其他文件。Rhysida勒索软件对PRNG的使用
Rhysida勒索软件先用对称加密方式加密数据,然后用非对称加密方式加密对称加密的密钥,达到安全性与效率兼顾。Rhysida勒索软件采用4096位RSA密钥和AES-CTR进行文件加密,成功加密后,会附加.rhysida扩展名。有研究机构表示:破解一组768位的RSA密钥需要1500年,并且破解1024位的RSA密钥要比768位的困难1000倍,随着素数位长度的增大,破解难度呈指数级上升,据估计,4096位密码的破解要比1024位密码困难2的100次方以上倍。NTT与欧洲研究机构破解768位RSA密钥论文
所以,一旦中招Rhysida勒索,除非勒索病毒本身存在漏洞,否则不可能通过数据解密的方式还原用户数据。 Rhysida样本检出率在10/26—11/26之间
Rhysida勒索组织运用了复杂的技战术组合手段发起攻击,这使得针对Rhysida勒索软件的检测发现较为困难。基于国内某知名威胁情报平台,使用包括微软(MSE)、卡巴斯基(Kaspersky)、360(Qihoo 360)、瑞星(Rising)、ClamAV在内的26款知名杀毒软件,对Rhysida勒索软件样本进行检测,26款知名杀毒软件对Rhysida勒索软件的平均检出率仅为40%。注:本文已将6个Rhysida勒索软件样本(MD5)和美国联邦调查局FBI以及其他专业机构针对Rhysida组织及勒索软件的分析报告汇总,获取方式见文末说明。由于勒索软件攻击后果极为严重,轻则系统被锁定业务遭中断,重则造成企业声誉受损及巨额经济损失,各行业用户普遍无法接受遭受勒索攻击的严重后果,因此,事后响应恢复的治理方式是行不通的,要转变为事前防范的安全战略。主流杀毒软件采用特征码进行威胁检测和发现,由于勒索软件能带来巨大的经济收益,勒索组织倾向于构建勒索软件变种或新型勒索软件,并辅以加壳、混淆等技术手段绕过杀毒软件,这就导致传统以特征为主的防病毒产品,对于勒索软件的防护能力极为有限,接下来,我们以专用防勒索系统对Rhysida勒索软件样本进行防护测试。 无安全防护软件或采用传统特征比对技术的杀毒软件时,Rhysida勒索软件将直接对全盘数据进行加密,全盘数据文件被添加后缀,无法正常打开和使用。Rhysida勒索软件对全盘数据进行加密
Rhysida勒索软件会对系统中的文件进行无差别的加密,进而锁定用户数据文件要挟赎金,威努特主机防勒索通过生成带“陷阱”的诱饵文件,通过监测诱饵文件状态,可以发现诱饵文件的异动,进而可以识别勒索软件,阻断其运行避免用户数据损失。 威努特主机防勒索静态诱捕技术
此外,Rhysida勒索软件具备诱饵技术绕过能力,通过跳过特定目录实现诱饵技术绕过,威努特主机防勒索创新应用动态诱捕技术,实时监测操作系统文件遍历的函数接口,任何文件遍历均会动态生成多种格式的仿真文件返回给相关进程,如发现批量加密写入等行为,可判断为恶意进程进行拦截阻断,动态诱捕技术与路径、目录无关,不可被绕过,任何勒索病毒的文件遍历加密行为均能被检测。威努特主机防勒索动态诱捕技术
经过测试,威努特主机防勒索使用动态&静态诱捕技术对Rhysida勒索软件文件加密行为成功拦截,截图如下: 动态&静态诱捕技术成功捕获Rhysida勒索软件文件加密行为
Rhysida勒索软件加密数据文件时,会写入随机数据破坏文件的结构和内容,也会在文件名添加后缀以及修改文件属性,这些行为本质上都属于文件篡改行为,文件一旦被篡改成功,用户将永远失去对数据的访问权。威努特主机防勒索通过建立系统中可信应用与数据的访问关系模型,阻断勒索病毒对应用数据的读写删改,保护系统中文档、数据库、工程文件、音频、图像、视频、配置文件免遭勒索软件恶意加密。威努特主机防勒索数据保护技术
经过测试,威努特主机防勒索使用数据保护技术对Rhysida勒索软件数据篡改行为成功拦截,截图如下:数据保护技术成功拦截Rhysida勒索软件的数据篡改行为
通过对Rhysida勒索组织的6个勒索软件样本的实战测试,威努特主机防勒索系统实现了勒索软件的检测发现,实现了Rhysida勒索软件100%的检出率和拦截率。威努特防勒索系统实现Rhysida勒索软件的100%拦截
Rhysida作为新兴的勒索组织,短短的几个月时间就已经入侵了60+企业,给各行业用户带来了巨大的损失,这不得不引起我们的深思,到底怎样才能保障自身免受勒索攻击的入侵?威努特主机防勒索系统创新应用多项勒索行为检测技术,可对全球范围内各类已知、新型勒索软件有效检测和防范,自威努特主机防勒索系统发布以来,各类新型勒索软件,无论是LockBit3.0、Darkside、tellyouthepass、Devos、Mallox、Phobos、Money Message、美杜莎,还是本次的Rhysida勒索软件,无一例外,均能有效防范。威努特主机防勒索系统
威努特主机防勒索系统是专防专治勒索软件的终端安全产品,产品深度结合操作系统内核驱动,以勒索行为监测、勒索软件诱捕、系统资源保护、关键业务保护、核心数据保护、数据智能备份等多项创新技术,精准识别勒索软件、保护系统资源不被破坏、保护业务应用免遭中断、保护业务数据不被篡改、备份业务数据并恢复,实现事前预防、事中检测/阻断、事后恢复的勒索软件综合防范。注:关注本公众号“威努特工控安全”,在对话框中回复“Rhysida”获取美国网络安全和基础设施安全局(CISA)发布的AA23-319A安全预警报告、美国联邦调查局FBI及众多专业机构针对Rhysida组织分析报告、6个Rhysida勒索软件样本(MD5)。北京威努特技术有限公司(简称:威努特)是国内工控安全行业领军者,是中国国有资本风险投资基金旗下企业。凭借卓越的技术创新能力成为全球六家荣获国际自动化协会ISASecure 认证企业之一和首批国家级专精特新“小巨人”企业。
威努特依托率先独创的工业网络“白环境”核心技术理念,以自主研发的全系列工控安全产品为基础,为电力、轨道交通、石油石化、市政、烟草、智能制造、军工等国家重要行业用户提供全生命周期纵深防御解决方案和专业化的安全服务,迄今已为国内及“一带一路”沿线国家的6000多家行业客户实现了业务安全合规运行。
作为中国工控安全国家队,威努特积极推动产业集群建设构建生态圈发展,牵头和参与工控安全领域国家、行业标准制定和重大活动网络安全保障工作,始终以保护我国关键信息基础设施安全为己任,致力成为建设网络强国的中坚力量!
渠道合作咨询 田先生 15611262709
稿件合作 微信:shushu12121
还没有评论,来说两句吧...