Rhysida ist für Phishing-Angriffe und die Ausnutzung legitimer Cybersicherheitstools bekannt und behauptete, das Bayhealth Medical Center getroffen zu haben, das Zentral- und Süd-Delaware versorgt.
WARUM ES WICHTIG IST
Die Rhysida Ransomware-Gruppe legte Screenshots von gestohlenen Pässen und Ausweisen als Beweis vor und gab dem gemeinnützigen Bayhealth Hospital eine Woche Zeit, das Lösegeld zu zahlen und das Leck zu verhindern, heißt es in einer Bericht Donnerstag in Sicherheitsfragen.
„Nutzen Sie die Gelegenheit und bieten Sie mit nur noch 7 Tagen exklusive, einzigartige und beeindruckende Daten an“, kündigte Rhysida am Mittwoch auf seiner Tor-Leak-Site an.
„Öffnen Sie Ihre Brieftaschen und machen Sie sich bereit, exklusive Daten zu kaufen. Wir verkaufen nur an eine Hand, kein Weiterverkauf, Sie werden der alleinige Eigentümer sein!“
Wir haben Bayhealth kontaktiert und werden die Geschichte aktualisieren, wenn eine Stellungnahme vorliegt.
DER GRÖSSERE TREND
Obwohl die Gruppe keine offensichtlichen Verbindungen zu anderen Ransomware-Gruppen aufweist, vermeidet sie es, ehemalige Sowjetrepubliken oder Blockstaaten sowie die Gemeinschaft Unabhängiger Staaten Zentralasiens ins Visier zu nehmen, heißt es in einer Warnung des Health Sector Cybersecurity Coordination Center vom August 2023.
HC3 erklärte in der Warnung, dass die Gruppe neben Social-Engineering-Angriffen auch bekannte Schwachstellen in Software auf kompromittierten Systemen ausnutzt, nachdem sie zunächst Cobalt Strike oder andere Frameworks ähnlich wie Black Basta eingesetzt hat. Die PDF-Notizen, die die Gruppe hinterlässt, sind so geschrieben, als ob sie ein Kundenservice-Erlebnis bieten würden.
Rhysida bekannte sich außerdem zu dem Ransomware-Angriff auf Prospect Medical Holdings in Los Angeles, der im selben Monat zu einer Unterbrechung der Versorgung in Krankenhäusern und medizinischen Zentren in Connecticut und mehreren anderen Bundesstaaten führte.
Dann im November veröffentlichten das Federal Bureau of Investigation und die Cybersecurity and Infrastructure Security Agency eine Gemeinsame Cybersicherheitsberatung Dies deutet darauf hin, dass die Gruppe Werkzeuge im Rahmen eines Gewinnbeteiligungsmodells least.
ORIENTIERTE DATEN
„Berichten zufolge betreiben Rhysida-Akteure eine ‚doppelte Erpressung‘ (T1657) – sie fordern ein Lösegeld für die Entschlüsselung der Daten der Opfer und drohen mit der Veröffentlichung der exfiltrierten sensiblen Daten, wenn das Lösegeld nicht gezahlt wird“, erklärten FBI und CISA in ihrer Warnung.
Andrea Fox ist leitende Redakteurin von Healthcare IT News.
E-Mail: afox@himss.org
Healthcare IT News ist eine Veröffentlichung von HIMSS Media.
Das HIMSS Healthcare Cybersecurity Forum findet vom 31. Oktober bis 1. November in Washington, DC statt. Mehr erfahren und registrieren.
