深入分析RansomwareasaService的演变：Vice Society到Rhysida

关键要点

许多网络攻击者在使用不同变种的勒索软件，但它们的战术、工具和程序TTPs保持一致。Sophos XOps跟踪网络攻击活动，以识别攻击者行为模式，不论具体饮用的勒索软件变种。最近的案例显示，一组勒索软件联属组织从使用Vice Society转向了Rhysida，尽管如此，它们的核心攻击策略仍然保持一致。防止此类攻击的关键在于启用多因素认证MFA和应用控制策略。

在RansomwareasaServiceRaaS的世界里，现如今有数十个联盟团体在使用相同的勒索软件系列，并在部署的变种间切换。考虑到这种攻击者的灵活性，Sophos XOps的目标是追踪和聚合威胁活动，以帮助我们确定攻击者行为的模式，而不考虑所使用的勒索软件变种。在最近的一篇博客文章中，我们识别到一个威胁活动聚类TAC，该聚类在数个月间部署了多种不同的勒索软件变种，包括Hive、Black Basta和Royal，且在各种入侵中使用相同的TTP模式。

事件概述

我们在本文中的分析是基于六个案例的数据，具体信息见下表：

勒索软件部署日期勒索软件受害者情况首次观察到的活动滞留时间恶意软件工具2022年11月Vice Society政府/物流VPN认证无MFA5天PortStarter高级IP扫描器、PuTTY、templ0gs凭证转储、RDP、AnyDesk、MegaSync、WinSCP2023年2月Vice Society物流VPN认证无MFA112天PortStarter高级端口扫描器、PuTTY、templ0gs凭证转储、RDP、AnyDesk、MegaSync、ZeroLogon2023年4月Vice Society教育VPN认证无MFA17天PortStarter SystemBC高级IP扫描器、AnyDesk、templ0gs凭证转储、RDP2023年5月Vice Society制造业VPN认证无MFA4天PortStarter高级端口扫描器、Secretsdump、ZeroLogon、AnyDesk、PuTTY、RDP、MegaSync、7zip、WinSCP2023年6月Rhysida物流VPN认证无MFA5天SystemBCPuTTY、MegaSync、RDP、7zip、WinSCP2023年6月Rhysida教育未知未知SystemBCAnyDesk

背景

Sophos将这一攻击者行为聚类称为TAC5279，此活动与微软所追踪的活动聚类Vanilla Tempest有重叠。据悉，Sophos于2022年11月首次观察到这一活动聚类，目标为政府物流领域的客户，使用了Vice Society勒索软件。Sophos一直看到这个威胁行为者对教育、制造和物流等领域的组织部署Vice Society勒索软件，直到2023年6月，Sophos检测到同一威胁行为者开始使用Rhysida勒索软件攻击物流和教育领域的两家不同

免费蚂蚁加速器