Rhysida
Überblick
Rhysida ist eine als Ransomware-as-a-Service betriebene Erpressergruppe, die eine gleichnamige Schadsoftware einsetzt. Für den ersten Zugriff auf die Netzwerke ihrer Ziele nutzt die Gruppe Phishing-Angriffe sowie das Werkzeug Cobalt Strike, um anschließend ihre Schadprogramme auszubringen. Rhysida verfolgt das Prinzip der doppelten Erpressung: Werden zuvor entwendete Daten nicht ausgelöst, droht die Gruppe damit, diese öffentlich zu verbreiten. Nach der Verschlüsselung hängt die Schadsoftware die Dateiendung „.ryshida“ an die betroffenen Dateien an und hinterlässt in den befallenen Ordnern Erpressernachrichten im PDF-Format. Darin werden die Opfer angewiesen, über ein eigens betriebenes Portal Kontakt aufzunehmen; die Zahlung soll in Bitcoin erfolgen. Den Quellangaben zufolge befindet sich Rhysida noch in einem frühen Entwicklungsstadium. Die Gruppe richtet sich gegen Einrichtungen unterschiedlicher Branchen.
Taktiken & Vorgehen
Der Erstzugang erfolgt über Phishing, teils ergänzt durch aktives Scannen nach angreifbaren Zielen. Zur Ausweitung der Rechte umgeht Rhysida die Benutzerkontensteuerung (UAC) und setzt Techniken wie Process Injection, Thread Execution Hijacking sowie Reflective DLL Injection ein. Für Bewegung und Ausführung im Netz werden PsExec, WMIC, Impacket und das Fernwartungswerkzeug AnyDesk genutzt, zur Erkundung der Umgebung PowerView. Anmeldedaten werden mittels NTDS Utility (ntdsutil) aus der Domänendatenbank gewonnen, der Datenabfluss erfolgt unter anderem über WinSCP sowie über den C2-Kanal sowie Web-Protokolle. Zur Verschleierung werden Dateien obfuskiert und getarnt, NTFS-Dateiattribute missbraucht, Sandbox-Umgebungen erkannt und mit dem Windows Event Utility (wevtutil) Spuren in den Ereignisprotokollen verwischt. Die Persistenz wird über Registry-Run-Keys hergestellt.
Schutzmaßnahmen
Da Phishing als Einfallstor dient, sollten E-Mail-Filterung und die Sensibilisierung der Beschäftigten gestärkt werden. Der Einsatz von Cobalt Strike, Impacket sowie der Werkzeuge PsExec und WMIC sollte durch Überwachung verdächtiger Prozessausführungen und seitlicher Bewegungen im Netz erkannt werden. Fernwartungssoftware wie AnyDesk sollte mittels Anwendungssteuerung eingeschränkt und auf unautorisierte Nutzung überwacht werden. Zum Schutz vor dem Abgriff über NTDS Utility (ntdsutil) sollte der Zugriff auf die Domänendatenbank streng begrenzt und privilegierte Konten besonders abgesichert werden. Das Manipulieren der Ereignisprotokolle mit wevtutil sowie das Anlegen von Registry-Run-Keys sollten zentral protokolliert und ausgewertet werden, um Persistenz und Spurenverwischung frühzeitig zu erkennen.
Chronologie
- 05.06.2023 Erste bekannte Aktivität
- 25.05.2026 Zuletzt aktiv
Erwähnt in
- Microsoft zerschlägt Signatur-Dienst, der Malware als echte Software tarnte 20.05.2026
- Microsoft zerschlägt Dienst zur Signierung von Schadsoftware 19.05.2026
- Microsoft legt Malware-Signierdienst von „Fox Tempest" lahm 19.05.2026
- Microsoft zerschlägt Fox Tempest: Signatur-Dienst für Schadsoftware abgeschaltet 19.05.2026
- Ransomware-Angriff auf Cookeville Regional Medical Center: 337.000 Betroffene 16.04.2026
- Pro-ukrainische Gruppe Bearlyfy attackiert über 70 russische Firmen mit GenieLocker-Ransomware 27.03.2026
- Interlock-Bande nutzte Zero-Day in Cisco-Firewalls Wochen vor der Offenlegung aus 19.03.2026
- Slopoly: KI-generierte Malware bei Interlock-Ransomware-Angriff entdeckt 12.03.2026