Neue Ransomware Rhysida – New Rhysida ransomware

Vice Society war bisher eine der aggressivsten Ransomware-Banden seit 2021, die vor allem das Bildungs- und Gesundheitswesen angegriffen hat. In der US-Stadt Los Angeles griff sie erfolgreich den Unified School District an, den zweitgrößten seiner Art in den USA mit über 640.000 Schülern vom Kindergarten bis zur 12. Klasse (High School). Es gibt mehr als 900 Schulen und 190 öffentliche Schulen in freier Trägerschaft (Charter Schools). Vice Society ist dafür bekannt, gelegentlich die Ransomware-Payload zu ändern, was für die Verwendung von Rhysida spricht.

Die Fähigkeiten der Rhysida Ransomware umfassen:

– Remote Desktop Protocol: Während des Eindringens initiierten die Angreifer RDP-Verbindungen und unternahmen Schritte, um die zugehörigen Protokolle und Registrierungseinträge zu entfernen, was die Erkennung und Analyse erschwert. RDP ist nach wie vor ein effektiver Ansatz für laterale Bewegungen innerhalb der IT-Umgebung.

– Remote PowerShell Sessions (WinRM): Während des Aufbaus einer Remote-Verbindung über RDP wurde beobachtet, wie der Bedrohungsakteur Remote-PowerShell-Verbindungen zu Servern innerhalb der Umgebung initiierte. Dies geschah in den Tagen vor dem Einsatz der Ransomware-Nutzlast.

– PsExec: Die Ransomware-Nutzlast selbst wurde mit PsExec von einem Server innerhalb der IT-Umgebung verteilt. Die Verteilung erfolgte in zwei Phasen.

o Kopieren der schädlichen Nutzlast mit dem Befehl PsExec.exe -d

\\VICTIM_MACHINE -u "DOMAIN\ADMIN" -p "Password" -s cmd /c COPY "\\path_to_ransomware\payload.exe" "C:\windows\temp"

o Ausführen des schädlichen Payloads mit dem Befehl PsExec.exe -d

\\VICTIM_MACHINE -u "DOMAIN\ADMIN" -p "Password" -s cmd /c c:\windows\temp\payload.exe.

Die Ransomware Rhysida wurde im Mai 2023 entdeckt und wird seither für mehrere erfolgreiche Angriffe verantwortlich gemacht, darunter auch der Angriff auf die chilenische Armee. In den Vereinigten Staaten von Amerika (USA) soll sie hinter einem Angriff auf Prospect Medical Holdings stecken, von dem 17 Krankenhäuser und 166 Kliniken betroffen waren. Das US-Gesundheitsministerium stufte die Ransomware Rhsida daraufhin als „bedeutende Bedrohung“ für das Gesundheitswesen ein.

Vor allem verwendete der Bedrohungsakteur ntdsutil.exe, um ein Backup von NTDS.dit in einem Ordner namens temp_l0gs zu erstellen. Dieser Pfad wurde von dem Akteur mehrfach verwendet. Darüber hinaus hat der Bedrohungsakteur Domänenadministratorkonten aufgezählt und versucht, sich mit einigen von ihnen anzumelden.

Befehl und Kontrolle

Die Bedrohungsakteure haben mehrere Backdoors und Tools für die Persistenz verwendet, darunter:

SystemBC – In einer erfolgreichen PowerShell-Sitzung führte der Angreifer ein SystemBC-PowerShell-Implantat aus (das dem hier beschriebenen Implantat sehr ähnlich ist), das die Persistenz aufrechterhält, indem es einen Registrierungsausführungsschlüssel namens Socks installiert, um das Skript beim Start auszuführen. Das Implantat erreicht die Adresse 5.255.103[.]7. Außerdem richtete der Akteur eine Firewall-Regel namens Windows Update ein, um ausgehenden Datenverkehr zu einem anderen Server, 5.226.141[.]196, zuzulassen.

AnyDesk – Der Bedrohungsakteur wurde bei der Verwendung des Fernverwaltungstools AnyDesk beobachtet.

Umgehung der Verteidigung

Während der gesamten Aktivität löschten die Bedrohungsakteure durchgängig Protokolle und forensische Artefakte nach ihren Aktivitäten. Dazu gehören:

Löschen des Verlaufs der zuletzt verwendeten Dateien und Ordner.

Löschen einer Liste der zuletzt ausgeführten Programme.

Löschen des Verlaufs der zuletzt eingegebenen Pfade im Datei-Explorer.

Löschen der Verlaufsdatei der PowerShell-Konsole.

Löschen aller Dateien und Ordner im temporären Ordner des aktuellen Benutzers.

Nach RDP-Sitzungen löschte der Bedrohungsakteur auch RDP-spezifische Protokolle, indem er:

Suche nach allen Unterschlüsseln unter „HKCU:\Software\Microsoft\Terminal Server Client“ in der Windows-Registrierung und Entfernen des Werts „UsernameHint“ für jeden Unterschlüssel, sofern vorhanden.

Löschen von „Default.rdp“ aus dem Dokumentenordner des Benutzers.

Auswirkungen

Am Tag der Bereitstellung der Ransomware nutzte der Bedrohungsakteur den von AnyDesk bereitgestellten Zugriff, um die Ransomware-Nutzlast mithilfe von PsExec in der Umgebung zu verbreiten:

Entfernen des Kontozugriffs – Der Bedrohungsakteur änderte die Passwörter für Zehntausende von Konten in der Domäne, um die Abhilfemaßnahmen zu erschweren.

Verhindern der Systemwiederherstellung – Vor der Bereitstellung der Ransomware-Nutzdaten versuchte der Bedrohungsakteur, ein PowerShell-Skript mit einer Vielzahl von Funktionen bereitzustellen, darunter:

Ändern aller lokalen Kennwörter in ein vordefiniertes Kennwort.

Beenden von Diensten im Zusammenhang mit Datenbanksystemen, Sicherungssoftware und Sicherheitsprodukten.

Deaktivieren von Windows Defender und Erstellen von Ausnahmen für dieses Programm.

Löschen von Schattenkopien sowohl mit wmic.exe als auch mit vssadmin.exe.

Ändern des Standard-RDP-Ports auf 4000 und Erstellen einer Firewall-Regel für diesen Port.

Löschen aller Windows-Ereignisprotokolle und des PowerShell-Verlaufs.

Datenverschlüsselung – Der Bedrohungsakteur hat die Rhysida-Ransomware-Nutzlast wie oben beschrieben mithilfe von PsExec bereitgestellt.

Vice Society has so far been one of the most aggressive ransomware gangs since 2021, primarily attacking the education and healthcare sectors. In the U.S. city of Los Angeles, it successfully attacked the Unified School District, the second largest of its kind in the U.S. with over 640,000 students from kindergarten through 12th grade (high school). There are more than 900 schools and 190 public charter schools. Vice Society has been known to occasionally change the ransomware payload, which makes a strong case for using Rhysida.

The capabilities of Rhysida ransomware include:

– Remote Desktop Protocol: during the intrusion, the attackers initiated RDP connections and took steps to remove the associated logs and registry entries, making detection and analysis difficult. RDP remains an effective approach for lateral movement within the IT environment.

– Remote PowerShell Sessions (WinRM): While establishing a remote connection via RDP, the threat actor was observed initiating remote PowerShell connections to servers within the environment. This occurred in the days leading up to the deployment of the ransomware payload.

– PsExec: The ransomware payload itself was distributed using PsExec from a server within the IT environment. The distribution was done in two phases.

o Copying the malicious payload using the command PsExec.exe -d

\VICTIM_MACHINE -u "DOMAIN\ADMIN" -p "Password" -s cmd /c COPY "\path_to_ransomware\payload.exe" "C:\windows\temp"

o Execute the malicious payload with the command PsExec.exe -d

\VICTIM_MACHINE -u "DOMAIN\ADMIN" -p "Password" -s cmd /c c:\windows\temp\payload.exe.

Rhysida ransomware was discovered in May 2023 and has since been blamed for several successful attacks, including the attack on the Chilean army. In the United States of America (USA), it is said to be behind an attack on Prospect Medical Holdings that affected 17 hospitals and 166 clinics. The US Department of Health and Human Services subsequently classified the Rhsida ransomware as a „significant threat“ to healthcare.

Most notably, the threat actor used ntdsutil.exe to create a backup of NTDS.dit in a folder name temp_l0gs. This path was utilized by the actor multiple times. In addition to those, the threat actor has enumerated Domain Administrator accounts and attempted to log in using some of them.

Command and Control

The threat actors have utilized several backdoors and tools for persistence, including:

SystemBC – In a successful PowerShell session, the attacker executed a SystemBC PowerShell implant (very similar to the implant described here) which maintains persistence by installing a registry run key named socks to execute the script on startup. The implant reaches out to 5.255.103[.]7. Additionally, the threat actor set up a firewall rule named Windows Update to allow outbound traffic to another server, 5.226.141[.]196.

AnyDesk – The threat actor was observed using the remote management tool AnyDesk.

Defense Evasion

Throughout the activity, the threat actors consistently deleted logs and forensic artifacts following their activity. This includes:

Deleting the history of recently used files and folders.

Deleting a list of recently executed programs.

Deleting the history of recently typed paths in File Explorer.

Deleting PowerShell console history file.

Deleting all files and folders within the current user’s temporary folder.

Following RDP sessions, the threat actor also deleted RDP-specific logs by:

Searching for all subkeys under “HKCU:\Software\Microsoft\Terminal Server Client” in the Windows Registry, and for each subkey, removing the “UsernameHint” value if it exists.

Deleting Default.rdp from the users’ Documents folder.

Impact

On the day of ransomware deployment, the threat actor utilized the access provided by AnyDesk to widely deploy the ransomware payload in the environment using PsExec:

Account Access Removal – The threat actor initiated a password change for tens of thousands of accounts in the domain to harden remediation efforts.

Inhibit System Recovery – Before deploying the ransomware payload, the threat actor attempted to deploy a PowerShell script with a wide variety of capabilities, including:

Changing all local passwords to a predefined password.

Killing services related to database systems, backup software, and security products.

Disabling Windows Defender and creating exclusions for it.

Deleting shadow copies with both wmic.exe and vssadmin.exe.

Changing the default RDP port to 4000 and creating a firewall rule for it.

Deleting all Windows event logs and PowerShell history.

Data Encryption – The threat actor ended up deploying the Rhysida ransomware payload using PsExec, as described above.